合勤科技是臺灣知名的網通設備業者,兼具網通產品的設計、生產製造、銷售和品牌,加上也是臺灣國防安全產業供應鏈業者之一,相較其他某些只負責3C品牌產品代工的高科技業者而言,合勤是臺灣很早就開始重視資安的企業。
合勤投控資安長游政卿原本是擔任公司資訊長的角色,但因為是國防產業供應鏈的一環,很早就有被駭客攻擊的經驗,在該公司創辦人兼董事長朱順一的支持下,資安很早就成為公司營運的重要環節。
不過,早期合勤科技重視資安是因為,資安涉及公司更重要的供應鏈管理及營運決策,包括集團資安及所有的資安事件應變處理,都先由資訊服務處回報給董事長,並固定在董事會做報告。
爾後,合勤科技成立PSIRT(產品資安事件處理小組)團隊把關產品安全,不僅贏得客戶信任更增加企業營收;資安長則整合產品安全和資安治理,合勤科技更在每一款新產品上市前,檢附自家產品的資安檢測報告,藉此和同業區隔。游政卿表示,資安逐漸成為公司營運加值的利器,資安長則搖身一變,成為公司營運的加值者。
設立PSIRT團隊為公司營運加分
游政卿於2007年任職合勤科技資訊服務處協理一職,負責合勤科技的各種IT應用服務的推動,直到2010年,該公司成立合勤投資控股後,因為對各種IT服務採用集中管理方式,便將資訊服務處設在合勤投控之下,他也成為合勤投控資訊服務處協理。
即便合勤科技很早就很重視資安議題,但剛開始,也只是先從IT部門找懂得防火牆設定、懂網路封包的人成立資安小組;直到2013年,該公司才真正成立專責的資安部門,並有獨立的資安專責人員。
不過,合勤科技的大客戶德國電信在2016年11月28日,遇到一波Mirai傀儡網路攻擊造成的大範圍網路故障,其中,德國電信2千萬個使用固定網路的用戶中,有大約90萬個路由器發生故障(約4.5%),而這些路由器就是合勤科技的產品。
合勤科技為了解決公司產品遭遇資安風險後,所帶來的公司商譽和營運的損失,也為了讓該公司推出各種產品的時候,一旦遇到爆發資安事件時,該公司具備足夠的資安量能可以即時因應,便決定在2017年4月,正式成立PSIRT(產品資安事件處理小組)團隊。
成立PSIRT團隊,不只是單純做好事後的漏洞修補而已,游政卿表示,最主要的目的就是保護客戶和公司的信譽;更重要的是,希望可以在產品設計的初期,就把產品資安漏洞補起來,真正落實Security By Design(產品安全設計)。畢竟,他說:「可以把資安在產品設計初期就落實,往往會比事後做漏洞修補還來得省事。」
合勤科技雖然因為Mirai傀儡網路的橫行,導致德國電信使用合勤科技網路路由器客戶的損害,並遭到德國電信罰款,但他指出,該公司直球對決,成立PSIRT團隊也帶來實際效益,合勤則在2018年名列德國電信的四大優秀供應商,這代表他們最終獲得客戶的信任,並對公司帶來實際的營收獲利,更讓資安成為與同業相比的競爭優勢。
從資訊長轉任資安長,職掌範圍囊括資訊安全和產品安全
游政卿於2007年任職合勤科技資訊服務處協理一職,負責合勤科技的各種IT應用服務的推動,直到2010年,該公司成立合勤投資控股後,因為對各種IT服務採用集中管理方式,便將資訊服務處設在合勤投控之下,他也成為合勤投控資訊服務處協理。
合勤科技在成立PSIRT團隊後,更是將資安變成該公司的競爭優勢。不過,合勤科技直到2019年9月30日,才正式任命游政卿擔任合勤投控資安長一職,並且直屬董事長朱順一,此時,其他高科技製造業還不時興指派資安長的時候,合勤科技便設立資安長一職。
回顧游政卿的職涯發展,他表示,主要是董事長朱順一認為,公司內部雖然重視資安,也成立PSIRT團隊對應產品安全,但是,資安在企業內部的組織和角色、責任等,都還沒有做到真正的名實相符,於是,才決定建構相關的角色和職務分工,讓職務可以真正扮演期待的角色。
在成為資安長之前,資安相關事件的應變處理都在游政卿的掌握之中,包括PSIRT團隊在內。因此,游政卿擔任合勤投控資安長的職掌範圍,除了囊括資訊安全更包括產品安全,他認為,合勤科技是網通設備公司,在許多物聯網(IoT)裝置成為駭客幫凶,且該公司產品行銷全球之際,產品安全就應該納入企業整體安全的一個環節。」
此外,資安治理已經是重要的企業治理環節,設立資安長角色,不僅做到整合產品安全和資訊安全,隸屬董事長之下,更必須和其他集團法務、稽核、智財權和安全部門等平行單位協力合作。他表示,當企業對資安給予足夠的授權,合勤資安長也扮演對公司產品和公司營運的加值者。
由於游政卿兼管資安與產品安全,該公司在2021年5月1日正式新增產品安全管理部,負責PSIRT及所有產品安全事宜,仍由資安長擔任直屬主管;更在同年6月,成為MITRE通用漏洞揭露計畫的CVE Numbering Authority(CNA)成員,成為臺灣第四家針對自家產品漏洞發佈漏洞編號的企業。
此外,合勤科技為了提高產品的競爭力,更在每一款產品上市時,會提供針對自家產品所做的資安檢測報告,以此和同業區隔,而這也成為該公司落實資安成為企業營運競爭優勢的最佳實例。
資安長要掌握企業資安風險,通報平臺一目了然
游政卿笑說,做資安的人都必須要有一定程度的使命感,才能把資安做好!他說,正式接任資安長這天,則是他人生最重大的轉捩點,因為,這讓他可以實現他對資安的使命。
接任資安長半個月後,游政卿的第一要務就是讓「資安事件通報系統」上線,資料庫囊括弱點掃描、網路組態設定等資訊,讓通報的資安事件可以成為企業內部資安知識管理平臺(KM)的重要資產。
以2021年合勤科技資安事件通報系統的統計來看,該年度通報了997起資安事件,以及45個產品安全漏洞修補。其中,除了常見的惡意程式軟體通報、弱點掃描通報外,還有網路資安風險協定、加密強度、加密金鑰強度在內的網路資安風險通報,其他像是造成許多網路服務大廠出包的管理與設定的弱點通報等,也都包含在內,畢竟,他說:「很多資安事件的發生是肇因於工程師太粗心,許多管理設定、配置錯誤造成的。」
資安長不僅要懂技術,更要懂業務
一路從資訊長當到資安長,兩種職務中間的差異,游政卿最有體會。他表示,資安長和技術長的差異,基本來自對資安技術的理解和掌握有落差,像是資安長通常要了解威脅情報、安全技術和一些資安治理的策略等等,資訊長的心力,一般不會放在這些項目上。
但游政卿認為,資安長雖然必須掌握相關的資安技術和趨勢,但這些對資安長而言,其實都還是「次要」的技能,他說:「資安長最重要的還要必須要了解公司的業務。」
他表示,效率和安全是天平的兩邊,資安長的重點是要掌握平衡之道,一味地傾向效率,一旦有資安風險,可能對企業造成營運或商譽的損壞;但若是一味傾向安全,公司營運缺乏效率,不僅缺乏競爭力,連帶也會造成公司營運狀況不佳。游政卿說:「找到效率與安全的甜蜜點,是資安長的任務。」
另外,他也分享自身的管理經驗,合勤的資安長要管資訊安全和產品安全,不同部門之間如何調和鼎鼐,就必須培養聆聽溝通的軟實力,而在傾聽需求、滿足需求外,也必須學會怎麼用對方聽得懂的話,講給對方聽,其中,學會肢體語言觀察也是重點。
再者,團隊領導能力也是重要的軟實力之一。他認為,要打造有向心力的資安團隊,就必須要做好向上溝通、平行部門協作,以及向下管理,這樣才能讓這個資安團隊有共同的目標願景,一起努力。
游政卿表示,資訊安全是一種紀律,更是一種風險管理的動態過程,他身為集團資安長,除了要做到以駭客為師,更希望能將資安落實在公司的產品和每一個作業流程上。
熱門新聞
2024-12-10
2024-12-10
2024-12-08
2024-12-10
2024-11-29
2024-12-11
2024-12-10