全球數位供應鏈的安全規範日益嚴苛,台灣身為資通訊(ICT)製造重鎮,正透過國家級力量加速補強產品資安體質。數位發展部資通安全署攜手國家資通安全研究院(簡稱資安院),日前啟動首屆產品資安漏洞獵捕活動,集結國內11家指標性網通與儲存設備大廠,祭出高額獎金邀請台灣在地資安技術專家進行檢測。
透過主動挖掘風險與建立互信機制,強化台灣製造(MIT)在全球供應鏈中的信任基礎,提升其長期競爭力。
資安院院長林盈達指出,漏洞獵捕的指標在於把獎金確實發出去。獎金是否能夠發放,等同驗證漏洞回報是否具備可重現性與可利用性,也反映產品端的風險確實被揭露。透過公開且可驗證的流程揭露,能讓廠商在攻擊者掌握弱點之前完成修補,降低營運風險。
在威脅與法規雙重壓力下,產品資安不僅是技術議題,亦攸關出口競爭力。資安院副院長龔化中觀察,當前供應鏈攻擊的嚴峻現況,駭客未必直接攻擊防護嚴密的企業核心,而是透過周邊產品如閘道器、路由器、交換器等弱點進行滲透。尤其是歐盟《網路韌性法案》(CRA)法規強制要求聯網產品必須具備資安韌性,未符規範恐影響標章取得並面臨高額罰款,對出口導向的台灣產業而言,合規已成為市場存續門檻。
為了協助產業應對此挑戰,資安院此次扮演了關鍵的「紫隊」角色,負責規則制定、漏洞驗證與爭議仲裁,並採用紅隊、藍隊、紫隊的協作模式。龔化中指出,資安院與國立台北科技大學合作建置高度擬真的測試場域,部署了工業控制系統(ICS)中的路由器、交換器、儲存設備等20項關鍵產品,讓白帽駭客能在貼近實際流量與網路拓樸的環境中進行測試,如何不干擾企業營運,卻能挖掘靜態檢測難以發現的深層漏洞。
數位發展部資通安全署署長蔡福隆(中)攜手國家資通安全研究院院長林盈達(左二),啟動首屆產品資安漏洞獵捕活動,集結國內11家指標性網通與儲存設備大廠,祭出高額獎金邀請台灣在地資安技術專家進行檢測。
這只是台灣產品資安戰略的第一步。林盈達透露,資安院正規劃建立國家級的標準檢測實驗室,目標是讓廠商在通過國內實驗室的驗證後,能直接對接歐盟與美國的認證標準,大幅降低重複檢測的時間與成本。數位發展部資通安全署署長蔡福隆也補充,產品安全必須回歸安全設計(Security by Design)的基本原則,因為沒有絕對安全,只有更接近可被信任的流程。未來若逐步推動資安標章制度,或可讓市場能辨識產品是否歷經更完整的檢測與修補循環,使信任可以被稽核、被比較、被累積,形成台灣產品在全球供應鏈中更穩固的信任資產。