【臺灣資安大會直擊】面對層出不窮的勒索軟體攻擊，臺灣也有高科技半導體公司導入NIST CSF框架，從建立韌性的資安體質做起，來因應新常態

過去一年來，臺灣在內等全球勒索軟體攻擊事件頻傳，特別是鎖定高科技製造業為主的勒索軟體攻擊，這也帶來了新的資安挑戰。在資安威脅持續升高的局勢下，高科技公司內部資安控管該如何做才夠安全，能夠抵抗這類難纏病毒攻擊的威脅，這也成了許多公司資安長或CIO的當務之急，列為優先想要解決的問題。

如果從風險管理角度來看，韋萊韜悅臺灣分公司企業風險與保險經紀資深協理吳明璋就表示，面對駭客威脅無所不再，企業除了持續提高資安防護與應變反應能力之外，在資安標準採用上也須與時俱進，除了大家熟知的ISO 27001，他認為企業更可從導入當紅的CSF網路安全框架（Cybersecurity Framework）開始做起，逐步建立並強化自身的數位韌性體質，來因應後疫資安新常態。

CSF框架是什麼？它其實是由美國國家標準技術研究所（NIST）幾年前所提出的一個網路安全框架，最早是在美國聯邦政府各部門實施，但因為主打容易上手，且又不像ISO 27001標準，得經過第三方驗證，企業單靠自己就能執行CSF框架，因此不只美國政府，就連企業也大力採用，將它做為資安風險管理標準與指引的參考，而且不只美國，連歐亞各國都有政府機關或大型企業先後引進，甚至連中小企業都能用。

目前導入NIST CSF的大型企業也不少，代表性的企業包括有英特爾、波音公司、微軟、AWS，以及HP等。

隨著NIST CSF在國外越來越火紅，如今這股風潮也開始吹到臺灣。像是國內封測大廠日月光投控，就藉由導入NIST CSF作為資安成熟度評估機制，來推動公司全面的網路安全規畫，並持續改善精進。不只封測大廠，近來也有國內面板廠有意導入，通過該框架，來評估其供應鏈好壞，而且不只半導體業，從企業官網或年報上揭露來看，也有一些企業目前正在推動，或是開始規畫，未來有意導入，包括了華碩、中華電信、台達化學工業，涵蓋電腦製造業、電信業、化工產業等。

從整個框架來看，CSF框架涵蓋了資安的五大面向，包括識別、保護、偵測、回應與復原，企業可以通過該框架，來建立資安風險管理的生命周期，並透過對於關鍵服務的衝擊影響，採用不同風險處置的方式，如減損、移轉、規避與接受等，同時根據風險容忍度，作為資源投入優先順序的參考。

針對NIST CSF框架的描述，吳明璋自己形容更貼切：「CSF框架就好比是中醫，從望聞問切做起，找出病患更深層病根再加以治本，相較之下，ISO 27001標準則比較像西藥，以目標導向的模式，針對症狀改善。」

他認為，CSF框架對臺灣企業將帶來衝擊和新機會，一來是開始有國外企業強調CSF管理框架重要性，甚至把它變成合約條款，要求合作供應商配合，否則之後可能就拿不到訂單。二來，在全球朝向可信賴的供應鏈的發展趨勢下，未來對資安的要求會不斷增加，因此，這樣一個新資安框架的採用，也變得越來越重要，甚至有些超前部署的領先企業，還將它當作競爭力的展現，能夠讓自家產品或公司更具國際競爭力。

從資安產業角度來看，吳明璋自己也相當看好NIST CSF將帶來新的機會，除了讓資安業者能將自己資安產品或解決方案，與CSF框架做對照，方便企業來選用，從整體臺灣資安產業發展，他也認為，通過CSF框架將有機會能夠串連整個資安產業服務鏈，他也說，現在產業正慢慢往這個趨勢靠攏，舉例來說，紅隊演練使用的MITRE 的ATT&CK資安攻防框架，就開始對應到CSF管理框架等。

CSF框架的出現，甚至也影響到後來其他產業資安標準的建立，像是由台積電在2018年主推的半導體資安標準草案SEMI Doc 6506 ，就有納入CSF框架的精神，可以對應到其定義的保護和檢測兩大資安面向，例如傳統老舊機臺汰換或定期更新就是屬於保護面向。日誌記錄的管理與追蹤則是檢測面向。除了參考CSF框架，Doc 6506本身還參考其它新的國際資安標準，如工控資安管理標準IEC 62443   CIS Controls框架等。

他也補充提到，目前該草案新進展，在歷經兩年多，來回提交修改，累計回覆多達上百個問題後，最新修正版本於5月中已經向國際SEMI協會提交，預計6月投票，他說，未來如果這個版本通過，成為正式標準後，企業就可依新標準在採購合約上納入資安要求。

儘管，NIST CSF框架有諸多好處，但企業實施遭遇到的阻力也不少。吳明璋根據實務經驗提出新標準實施的3個挑戰，首先是以取得證書為目的。他表示，目前國內業者心態，還是為證書導入居多，這也影響到企業對於CSF框架導入的意願，因為，CSF框架雖然可以透過第三方報告或稽核，但目前並沒有國際認證組織核發的證書，因此，倘若在法規沒強制、客戶沒有要求，亦無管理需求等急迫情況下，企業推動的步伐緩慢，或是就算實施，也不是全面推行，只有在少數部門實施，如IT或資安部門等。

IT重硬體不重軟體則是第二個挑戰。他表示，CSF框架或新的資安標準，不只硬體，也開始強調軟體開發流程需要納入資安考量，但對於長期IT委外的企業來說，也是一大挑戰。甚至一些關鍵性設備，都掌握在其他設備廠商手上，一旦發生資安問題，廠商未釋出更新之前，只能被動等待更新。這是第三個挑戰。除此之外，CSF框架實務執行上，也容易造成執行單位和稽核方的困擾，例如由於CSF框架本身不具強制性，企業可以從框架108項中擷取當中重點式的作法，再來調整，但這也會影響到稽核評量的方式，甚至即使是同一家公司不同單位或部門，對於框架的適用情況亦有所不同。

另從資安成熟度評量工具來看，他也觀察到，新的NIST v1.1版本中改以分級（Tier）的方式，作為企業資安成熟度的評估機制，不再使用成熟度模型評分標準。不過，目前業界普遍將它視為一種資安成熟度評估工具。

他也提到，國外企業目前導入CSF框架的觀念是，第一年是企業內部自己先導入，往後二、三年才逐漸擴大到上下游供應鏈，他說，這是一個長期發展的過程，而非是短期內為取得證書而做。

對於臺灣該如何推動CSF框架？他也點出一大關鍵在於中文化，他指出，不像ISO 27001有自己的中文版本，NIST CSF框架的內容至今還沒有中文版，僅有英文版，因此較不易企業使用，「這是CSF框架要能夠在臺灣真正落地的關鍵。」他說。另外，他也建議，除了企業採用以外，政府在資安成熟度的評估機制上，未來亦可將NIST CSF框架納入，作為未來評估資安成熟度的新作法。