數位化浪潮在各行業逐漸發酵,資安意識也隨著本土企業歷經資安攻擊事件造成重大損失逐漸提高警覺,為了促進本土資安產業發展得以滿足企業需求,政府持續推動「國家資通安全發展方案」,截至2020年已是第五期。
2021年起的未來四年,行政院資通安全處處長簡宏偉指出,「要建立一比一的工控實驗場域供需求者進行測試驗證,經由實際演練,把IT領域擅長的資安技術帶入OT環境。」
回顧過去四年推動的國家資通安全發展方案,工研院資通所所長闕志克指出,主要基於資安產業化、產業資安化為總體策略。前者目標在促進資安業者得以獲利,後者則是協助工商產業提升面對勒索軟體等威脅的防護力。前幾年較偏重推動資安產業化,打造如同以色列、荷蘭等國家的資安產業蓬勃發展態勢,隨著本土大型企業遭受勒索軟體事件數量增加,產業資安化儼然成為下一步發展的重點要務。
過去本土產業對於資安化著墨不多,闕志克觀察,深入探究可發現,假設公司年營業額為5億新台幣,投入3百萬建置資安措施,到底可提升多少防護能量,大部分IT人員根本無法回答。實際上管理階層並非不願意編列預算,而是無法具體評估投資報酬率,使得資安始終未被列在優先等級。「這種現象並無對錯,IT人員必須對於資安提出具體承諾,並由供應商協助達成,才有能力說服管理階層。」
營運SECPAAS簡化供需媒合
工研院近幾年推動資安產業化,首要任務在於先提升需求,運用資安健檢方式,讓企業申請補助來提高檢測意願。此項目為中華軟協推動,集結相關廠商加入執行,當企業發現安全漏洞百出後,可依照優先順序補強或改善。其次是資通安全管理法通過,讓政府機關開始動起來。第三個策略是運用漏洞獎勵計畫,促進台灣製造的產品更具安全性,藉此提升產業競爭力。
闕志克進一步說明,在資安健檢方面,透過完備資安服務機構登錄機制,以及新增國內自主資安產品與服務認定原則,鏈結政府共同契約採購系統,提供需求方可信任的服務廠商。引進8家資安廠商組成服務團隊提供健檢服務,2018年至2020年促成197次,挖掘出7,446筆弱點,其中高達18%為高風險。
為了簡化供需媒合,工研院營運管理資安整合服務平台(SECPAAS),以連結供需雙方,打造具品質保證的國家資安商城,協助資安廠商開拓國內市場商機。2020年累計帶動52家、78項國內資安自主產品或服務上架,依據產品類型新增顧問服務、鑑識服務、勒索病毒急救包等項目,跨領域共同推廣國內資安廠商,例如SEMICON SECPASS主題區等,串連產官學成立台灣資安產業協會。
本土自主研發能量邁向國際市場
過往獨立建置部署的產品技術愈來愈難獲得企業青睞,必須針對各個垂直應用場域的風險整合式解決方案,以便在工作流程中增添控管措施發揮綜效,並且設計統一操控介面,讓IT或資安人員可掌握場域的運行狀態。
本土資安新創公司大多為白帽駭客社群產業化,闕志克指出,從2017年至2020年累計成立25家,其中11家業者來自駭客社群,例如HITCON、TDOH、逢甲黑客社、UCCU Hacker等,以滲透測試、紅隊演練、資安顧問等服務為利基,發展出滲透測試等資安產品。大型企業轉投資資安公司也是近年來普遍的趨勢,例如趨勢科技成立的TXOne Networks、力旺電子旗下熵碼科技、合勤集團旗下黑貓資訊等。
「近兩年資安界新創公司之所以蓬勃發展,內需被催生有一定關聯性,讓本土技術研發能量得以發揮。接下來發展的重點,除了持續推動資安產業化,更要讓專案性質的業務模式演進到可提供自主研發產品,進而推展到國際市場。」闕志克說。
專業團隊補強製造場域防護需求差異
於2019年上櫃的安碁資訊,可說是少數本土資安服務廠商掛牌的公司,已率先開展國際市場。安碁資訊總經理吳乙南指出,安碁資訊自2019年在海外已有經營合作夥伴,邁向國際市場的經驗,首要必須遵循ISO 27001、GDPR等國際標準規範,並且提交證明文件,提高公信力之後才得以順利推展。
就資安服務業而言,即時掌握情資才可協助產業防範於未然,可惜每當重大資安事故爆發時,大家的焦點都在追究責任歸屬,而非檢討應變措施進而再優化。以製造業為例,近兩年的資安事故較多,駭客著眼於高科技製造業的產能與營收,但是台灣的製造業卻未如同政府、金融業受到法規要求揭露,若政府能及早制定規範,資安服務業者才可進入輔導高科技製造業提升整體防護,而非寄望只靠設備搭建防禦廠區的安全性。
具備IT背景的禾伸堂資訊中心資深副理彭志泓表示,當製造業開始以工業4.0為目標逐步前進時,會發現OT和IT的思考邏輯與專業用語差異極大,若堅持要把IT思維套用到OT環境,恐會發生許多意料之外的事件。他也觀察到,台灣研發的資安技術受到國際資本市場肯定,本土製造業卻未積極導入部署,多數是掌握OT場域決策權的主管不懂IT所導致。
於是彭志泓決定深入OT場域,以提高製程穩定度為目標,才發現舊式產線機台並未具備連網功能,製程參數是仰賴人工輸入,OT場域員工皆認為不具資安疑慮。問題是當製程參數欲改從MES(製造執行系統)指派,勢必得連網,已無法避免面對外部攻擊威脅,但OT人員可能不以為意。為了能夠順利溝通,彭志泓開始理解OT語言,甚至學習PLC(可程式化控制器),進而透過SECPASS平台找到本土資安廠商共同合作,推動自家OT環境安全防護力。
TXOne Networks總經理劉榮太實際參與資安事件應變(IR)團隊亦發現,遭受攻擊的企業共通問題是IT與OT網路架構未設置隔離,惡意程式只要單點突破即可在內網擴散感染。以現況來看,OT領域的防護力需要專屬團隊來執行,畢竟不同產業的OT應用場域差異性極大,機台設備供應商也完全不同,除非兼具領域知識與資安技能的專業團隊才可發揮效益。