為了推動臺灣資安產業發展,身為政府多項計畫執行單位的工研院,他們的資訊與通訊研究所所長闕志克說明,共畫分兩大整體戰略,包括提升資安意識與創造需求與環境,以及推動產業落實資安,而後者更是現階段他們將更重視的目標。

隨著資安成為我國六大核心戰略產業之一,對於臺灣資安產業發展的現況與未來,更是社會大眾都關心的焦點,只是,臺灣政府真的有在行動嗎?

最近,我們看到身為政府多項計畫執行單位的工研院,在一場演講公布他們近三年的相關推動經驗,這也說明了其實國內已有實際行動。他們並公布新的未來目標,希望不只鼓勵資安產業朝研發產品邁進,而且將更重視推動各產業對於資安的落實。

對於政府在臺灣資安產業的推動上,工研院資訊與通訊研究所所長闕志克指出,他們有兩大整體戰略,包括「資安產業化」與「產業資安化」,簡單而言,前者就是希望將資安變成臺灣重要產業可以賺錢,也是過去政府主要聚焦的面向;後者則是希望讓普遍產業都能盡量將資安做得更好,這主要是今年以來,國內企業組織遭受勒索軟體等攻擊的資安事件不斷,也讓他們要促進產業做好資安這件事,逐漸成為現階段更重要的工作。

祭出五大作法,拉近企業組織與臺灣資安業者距離

關於推動「資安產業化」這件事,闕志克表示,打造成功案例相當重要,他以1990年代為例,當時幾乎每隔三四天就聽到有團隊跑出去開IC公司,擋都擋不住,但就現行國內資安產業發展上,氣氛相對並非如此鼎盛,而為了提升資安意識與需求,他們採取了5項作法,包含資安健檢、資安管理法、政府產業計畫配置資安預算,以及漏洞獎勵計畫,半導體資安標準等多面向。

資安健檢

提升資安需求是政府推動上的重點,資安健檢不僅創造資安產業的生意,同時也讓企業知道自身資安健康狀況而去改進,後續,工研院並建立了資安服務機構能量登入機制,推動國內自主資安產品與服務認定,並鏈結政府共同契約採購系統。這三年下來,在協助中小企業的資安健檢服務上,工研院的補助計畫共促成197件、150家企業。不過,闕志克坦言,國內中小企業數量廣大,他們促成這1百多家企業僅是杯水車薪,但希望政府帶頭示範之下,讓民間單位能夠接手。

國際上大型資安廠商眾多,為了拉近臺灣企業與臺灣資安產業的距離,工研院近年已經推出SecPaas資安產業交流平臺。其發展狀況又是如何?闕志克表示,該平臺對簡化供需媒合帶來幫助,例如,他們媒合30場次特定場域導入資安實證,包括製造、醫療、半導體與精密製造等,幫助國產資安打入高門檻市場,並促進國內廠商組成新興資安解決方案,展開新的商業模式。例如,奧義智慧科技與中華資安國際合作提供EDR防護方案,竣盟科技與杜浦數位安全者和威脅情資傳送與端點偵測防護,提供製造業解決方案,以及關楗的實體金鑰與來毅數位多因子認證系統提供軟硬整合的身分驗證雲端服務。

資安管理法懶人包

過去我們聽過資安法懶人包的座談會一詞,但並不了解,闕志克剛好提到此事,他說,在政府通過資安管理法後,已讓政府機關在資安需求分級上有明確目標,而為了讓機關依循時可以更有方法,工研院則是提供資安法採購指引,稱之為資安法懶人包,輔導政府機關與關鍵基礎設備單位尋求相應的解決方案,以幫助組織達到需求,而根據他們的調查,有42.9%的臺灣資安業者因此獲得實質收益。

產業政策提升資安預算

另一政府更直接的做法,是在資安產業發展行動計畫中,規定政府發包的計畫,必須配置不同比例預算用於資安。根據工研院統計,已有54.3%的臺灣資安業者知道這項規定,並已對其公司帶來客戶與實際收益,但也有16.9%國內業者,不知道這項政策。

在近年政府推動國內產業發展上,已經開始有針對資安的要求,例如,在資安產業發展行動計畫中,已規定政府的補助計畫必須配置用於資安的預算,這不僅是要求產業對於資安的投入,同時也提升資安產業的需求。

漏洞獎勵計畫挑戰賽

過去多年來,臺灣資安社群已有不錯發展,因此,借助資安社群HITCON既有的活力,串接企業與政府資源,並帶動更多資安競賽風潮,也是他們看重的方式。這幾年來,並已擴及國產資通訊產品上市前漏洞挖掘,不僅提升資通訊產業的產品資安強化,也盼能推動為專業性質的服務。

半導體產業資安國際標準

由於臺灣最強的就是半導體產業,加上台積電在2018年發生嚴重資安事件,為解決產業問題,台積電與工研院共同主持資安工作小組,結合半導體產業鏈與國際標準組織,目標推動全球第一個半導體資安國際標準,而這也將促進半導體與資安跨域合作商機。

鼓勵業界發展資安產品與打造解決方案輸出國際

綜合來看,上述作為的確帶來了一些成果,然而,與國際間推動資安產業的成功經驗相比,包括以色列與荷蘭等,現行臺灣資安產業推動成效仍然遜色,儘管最近三年已有25家資安公司新創成立,也有更多大企業投資成立資安公司,因此,闕志克也同樣認為,推動上還是有許多可檢討之處。而在最新資安及國安2.0概念下,未來政府挹注的資源勢必也該有所提升。

未來還能怎麼做?闕志克公布工研院將推動的3大主軸,第一是鼓勵資安公司不要只做專案或服務,可以逐漸往產品發展,雖然並非所有業者都要這麼做,但應該要去思考,畢竟變成產品,才能擴大資安市場規模;第二是從臺灣獨特的資安處境發展在地解決方案;第三則是希望打造全世界領先的資安產品。只是,他未針對上述推動目標說明具體做法。

落實產業資安之餘,進一步驅動資安產業的發展

另一方面,隨著資安事件頻傳,工研院已表示,現階段他們更看重「產業資安化」這件事,也就是要推動各產業落實資安,並期望讓企業更札實地一步步做好資安。

雖然這看似脫離了推動資安產業發展,但我們換個角度來看,其實也是帶動資安需求。而且,扎根務實的做法,是推動產業發展上的重要概念。

基本上,政府除了對公家機關單位與關鍵基礎設施要求落實資安,但對於個別產業的約束力確實較小,除了金融業受金管會管轄。

這次我們看到工研院點出問題癥結,儘管企業知道要重視資安,然而,過去這方面一直面臨著挑戰,闕志克以一個例子來說明,一間5億營業額的公司,當IT人員建議公司要做資安,依照總經理的思維,公司不是沒錢,但提出要花300萬元時,可以增加多少的資安防護?他認為,大部分IT人員沒法回答這樣合理的問題。但要知道的是,當投資回報率(ROI)算不出來時,優先順序就會被往後,也就是當公司有剩下錢才支持。

因此,闕志克認為推廣資安成熟度的觀念,就是相當重要的一步。才能讓中小企業編列資安預算有所依循與方法,而這也是管理層會關注的地方。

其實,這方面今年下半年正開始推動,我們在9月看到他們專為製造業設計的成熟度評級服務,就是運用這樣的概念,希望讓臺灣製造業能有快速自我資安診斷的依據。

供應鏈安全也是焦點,在美中大戰所引發新的資安議題,因此工研院希望推廣軟體物料清單(SBOM)的觀念,畢竟,現在賣到美國的產品都有檢查軟體來源與是否可信任。

還有一個鼓勵產業做好資安的方式,就像台積電設供應商資訊安全協會,藉由產業龍頭帶動上下游產業,對資安有一定的要求,而此做法就直接與這些公司的ROI相關,若不依循,生意就會被影響,他認為,若將這一套方法用於其他龍頭產業,將更廣泛帶動整個生態圈發展資安。

臺灣資安新創公司3大類型

臺灣資安產業新創的發展如何?工研院資訊與通訊研究所所長闕志克指出,自2017年以來,他們分成3個類別來看待:

第一類,他們觀察到的是白帽駭客社群的產業化,國內駭客的能力正漸漸轉化成商業模式,而最簡單的類型就是發展滲透測試。而從2017年到2020年,臺灣累計有25家新創成立,其中就有11家是來自駭客社群,包括HITCON、TDOH、逢甲黑客社與UCCU等,這類型公司以滲透測試、紅隊演練與資安顧問為利基。

第二類,同樣也是從社群出身,但能夠開發出資安工具注入產業創新能量,舉例來說,專攻端點偵測與反應防護的奧義智慧與杜浦數位安全,他們並帶動了產業思維轉變,由傳統防禦轉向主動偵測威脅。

第三類,則是大企業也因公司商業連結需求而投資資安公司,例如,由趨勢科技與四零四科技合組的TXOne Networks,新漢科技成立的椰棗科技(TMR),合勤科技成立的黑貓資訊(Black Cat Info),以及力旺電子成立的熵碼科技(PUFsecurity),當中多是聚焦物聯網相關資安技術,包括工控網路安全、滲透測試與安全晶片等。

闕志克指出,近三年來的臺灣資安新創公司,不少是從白帽駭客社群創業。其中奧義智慧科技與杜浦數位安全在公司員工數與營收,更是已達到一定規模。此外,大企業轉投資資安公司的比例也不小。


熱門新聞

Advertisement