▮ 閱讀電子時報原文 | 法規帶動資安剛需 自由系統成電子IC大廠資安戰略夥伴

資訊安全已然是數位時代的企業顯學，不光是企業主人人自危，政府法令也緊跟科技發展步調，督促企業組織一肩扛起資安重擔。

金管會於2022年頒布新版「公開發行公司建立內部控制制度處理準則」，將率先針對上市櫃企業進行資安規範，並逐步擴大到各級產業。其中影響最大的便是第一級企業，產業涵蓋台灣的經濟支柱—半導體、電子、電機產業龍頭，以及食品、航運、電信等傳統大廠都在其中，必須趕在2023年前推派資安長就位，並設立資安單位，維繫企業資安體制運行。

►根據金管會資訊，關於資安人力配置規範，上市櫃公司將依條件分為三級，循序漸進辦理。

針對法令，多數企業仍處於觀望狀態，或是只設置資安長(CISO)，卻缺乏下一步具體計畫，問題便出在企業缺乏具體且可執行的資安戰略。自由系統為台灣首間全方位資訊託管服務商(MSP)，致力於提供企業一站式、客製化的資訊託管服務。憑藉著跨越「雲、地、端、人」的深度ICT知識與經驗，推出客製化「資安監控與回應託管服務(MDR)」，自2020年來持續為多家上市櫃企業解決資安威脅事件，成為長期資安戰略顧問夥伴。

「事實上不只有受金管會規範的上市櫃企業需要注意，」自由系統執行長俞伯翰點明，「法令一上路，你的客戶、供應商對資安法遵合規性要求逐漸轉嫁給你，比如說大型客戶會要求你也須通過安全性稽核。即便你不是規範對象，也不能掉以輕心。」尤其是科技製造業，需面臨來自大型客戶、上下游供應鏈等多方合作夥伴的責任轉嫁，資安壓力最急迫。

科技製造產業受駭比例攀升，網通暗處恐成風險未知數

製造、醫療、金融三大關鍵產業一直以來被推上數位轉型的浪尖，近年來更是資安防護的重點對象，總結說有三大特點：垂直或水平供應商多、監管法規要求高、系統間技術整合複雜。比起往年，又以製造業資安的討論聲量最高，原因不外乎是針對製造業的攻擊事件頻傳，但是企業對於IT/OT整體環境掌握度太低。資安大廠Fortinet調查指出，約93%的OT企業系統在12個月內至少被入侵過1次，卻渾然不覺。

俞伯翰指出，近年來公司內部業務重心逐漸移往「資安託管服務」，而尋求資安服務的客戶群有4成為高科技製造產業，包含電子製造、半導體IC設計、晶圓製造、工業網通等大廠，這些客戶找上自由系統的關鍵原因除了製造業攻擊趨勢外，更因為資安領域跨度極大，交給專業託管服務商統籌規劃，能降低資安維運的技術門檻與人力成本，以及試錯風險。

2021年某上市櫃客戶傳出遭勒索攻擊風波，除了總部外的供應據點遍及全台，使的維持營運核心的供貨系統、AD、網路、連同備份遭一併加密。由於衝擊範圍大、來自Infra的病灶複雜，最後才由從資訊到資安深縱能力最全面的自由系統來排除災情。

更早些年前，某科技業客戶亦懷疑企業內部環境遭駭客潛伏，由於未採用零信任網路架構而讓廠、辦兩地皆受感染。威脅修復後，自由系統也協助陸續把IT至OT網通端的資安監控機制建立完善，在最低的營運衝擊下做到最高的資源利用效能。

「過去我們常說別讓資安成為企業的『黑天鵝』，但現在恐怕已是『灰犀牛』—威脅已經存在，企業卻選擇消極應對或視而不見。」自由系統執行長俞伯翰以網路攻擊鍊(Cyber Kill Chain)概念說明，現在持續性的進階威脅可以潛伏在企業中很久，只為了在竊取最高權限後一舉進攻，而企業該做的就是在爆發前的任一階段擋下攻擊。

從IT到OT逐步建構資安防禦網絡

供應鏈、IoT資安是近年來業界討論的大議題，但是對於甫跟上數位化趨勢的多數台灣企業，似乎離落地還有段距離。俞伯翰濃縮經驗，提出兩端的現狀：第一，資安業界的解決方案走的前面，但缺乏整合服務Delivery技術和產品，生態圈尚未完全成熟；第二，企業仍處於觀望階段，比起「買保險」，更願意傾注其它能積極獲利的供應鏈投資。而自由系統現在提供給產業客戶的最大價值，就是整合技術與商業需求、確保問題被解決，保證企業的資安投資有積極效益。

IT和OT資安所關注的重點不盡相同，例如IT資安關注商業營運的延續和商業價值保護，保護機敏資料和資訊系統、AD、ERP等核心服務；而OT資安更擔心的是供應鏈中斷造成的產線危機，甚至是人、機安危。但是，在物聯網逐漸普及的未來，IT與OT的分野將溶解殆盡，且由於網路與雲端的進場，更趨向由IT主導。

1. 優先強化IT環境資安管理
2. IoT/OT資產列管透明化、增強環境可視性
3. 風險與弱點統一管理，避免雙向感染風險
4. 不間斷的威脅監控、事件回應，再到智慧管理
5. 降低資安維運成本與提升即時應對效率

「許多客戶並不是等到攻擊事件爆發才找上自由系統，通常是因為客戶意識到資訊基礎建設老舊、缺乏積極監管機制，甚至是已出現可疑跡象，趕緊先執行資安概念驗證(PoC)，順勢發現攻擊前兆。」自由系統業務經理許廷輔指出，企業的資安管理心態不能停留在「被打才知道痛」，而是「預防勝於治療」。

資安是場成本與風險的長賽局，隨著資安威脅的不斷進化，企業CISO的肩上重擔是在管理策略和技術實務兩邊權衡。如何支配有限的資源，盡早抓出潛藏的內外風險，最重要的是有實力和經驗能夠有效排除威脅，將成為數位化與互聯網時代的長期課題。敬請點此領取製造業資安白皮書以及點此報名自由系統X研華X電電公會製造業資安研討會。