擁有3,000名員工、營運遍布28國的ODM大廠威強電,專攻AIoT,應用領域不只工廠自動化、智慧建築、智慧零售,還有交通和醫療器材。如此龐大的企業,如何落實資安管理?
產品系統與IT環環相扣,資安原則是零信任
威強電集團以工業電腦起家,威強電集團資訊服務處副總暨資安長張素碧指出,集團旗下有6家子公司,各自負責資通訊、網通、電信5G和醫療等業務。在應用領域上,產品更與IT密不可分,比如在工廠自動化部分,就有AI驅動的品質分級系統、工業用機器人、自動光學檢測儀(AOI),在智慧零售部分,則有AI人流管理系統、電視牆顯示器和廣告數位看板。
不只對外,成立25年的威強電,內部還有許多使用已久的IT系統,像是企業的核心管理系統ERP、倉庫管理系統WMS、生產管理系統MES,以及管理客戶關係的CRM系統和管理供應商的SRM系統。這些系統除了內部使用,也會與合作廠商溝通,再加上,威強電還有坐落於不同國家的生產基地、物流中心和子公司,這些都是集團資安管理得顧及的。「特別是這兩年因疫情在家辦公,資安管理得走出辦公室和工廠,」張素碧強調:「這等於,我們得用零信任、無邊界的方式來管理資安。」
ISO 27001認證先從核心系統導入,再逐步擴大到全集團
威強電因應這項資安管理挑戰的方式是,先從市面最完整的資安管理系統檢驗標準ISO 27001下手。張素碧表示,集團自2013年開始規畫ISO27001取證,經過1年準備,在2014年取得認證2013新版認證,至今8年,每年都通過認證。
但並非一開始就將所有系統都納入驗證範圍,而是先以核心系統練兵,如基礎建設、機房、電子郵件系統等,近幾年再將擴大範圍至全集團系統。
不只ISO 27001,這幾年雲端資安和個資保護意識抬頭,威強電也分別導入ISO 27017和ISO 27018,來驗證自家雲端服務資安和雲端服務個資保護能力。
但,為何一家製造業要自己導入ISO27001?張素碧解釋,威強電IT大多與原廠委託設計ODM代工相關,許多國外客戶對資安的要求高,因此,威強電早一步做好資安防護,一但客戶提出資安稽核要求,威強電就能順利通過。
身為集團資訊長,張素碧也兼任資安長。她指出,臺灣企業設置資安長的動能,來自金管會修正的「公開發行公司建立內部控制制度處理準則」,分三級要求上市櫃公司設立資安長和資安專責人員。但由於資安長和資訊長人才稀缺,「這2個角色可以是同一個人,」她自己就是這樣的例子,既要維持營運,也要兼顧資安控管,可說是相輔相成。
成立內部資安小組CSIRT和產品資安小組PSIRT
取得ISO認證,是資安管理的基本功,但張素碧認為,資安不能只靠自己做,還得加入聯防、交換情資,才能落實資安防護。
其中,CERT(電腦緊急應變小組)就是一種區域聯防組織,針對資安事件提供應變處置和訊息交換服務,達到區域聯防目的。目前在臺灣,CERT可分為國家級、領域級和關鍵基礎設施服務提供者建置的CERT,另外也有不分領域的TWCERT組織,來提供會員資安情資。威強電也在2019年加入至今,張素碧點出,TWCERT好處是提供每周、每月的資訊通報,因這些資訊已經過篩選和驗證,威強電可直接用來判斷,這些漏洞是否影響公司、是否需因應。
另一種組織是CSIRT(電腦資安事件應變小組),是企業內部第一線處理資安事件的團隊,也是企業與資安社群的連接窗口。他們平時負責資安威脅偵測,爆發資安事件時,也會進行資安事件鑑識與調查。CSIRT找出資安事件的根因後,會強化企業的資安防護能力,也會分析與網路犯罪有關的事件和威脅,制定行動計畫來降低風險。
威強電在2018年開始建置CSIRT,「是個日常組織,也就是平時就在監控情資,而非等到資安事件爆發才處理。」和ISO驗證模式一樣,張素碧表示,威強電CSIRT也是從臺灣一家公司開始做起,後來擴展到全球,甚至美國、上海分部每周都會參加CSIRT會議,來盤點當周資安動態。
還有一種與CSIRT相仿的組織是PSIRT(產品資安事件應變小組),也就是企業內部針對產品、解決方案、零組件和服務,來識別所面臨的資安漏洞和相關資安風險,並評估、處理。威強電也有PSRIT,雖然它專注於產品安全性,但涉及企業應用時,就會與CSIRT合作,共享相關資源。
CSIRT每周盤點IT系統風險
張素碧也進一步分享威強電CSIRT的工作日常。他們得確認每周或每雙周公司的資安狀況,比如CSIRT得每周判斷防火牆訊息,找出高風險因子。其次,他們每周也會檢視公司端點狀況,像是手機、筆電、PC等設備,並導入斷電偵測與回應軟體EDR來輔助,找出是否存在高風險因子,如病毒、勒索軟體等。「每周作業看似枯燥,但久了就會成日常,否則等到事件發生再反應,就來不及了,」她說。
網路偵測也是CSIRT的另一個責任。他們導入網路偵測與回應軟體NDR,來輔助監測企業內使用者的設備狀況。當IT捕獲異常資訊後,就會交由CSIRT分析,再找相關單位(如使用者、產品單位)溝通。
再來,CSIRT也負責員工的資安管理工作,這是張素碧眼中最重要的工作,尤其是社交工程演練。因為,員工很容易被以假亂真的詐騙訊息搞混,比如,他們曾收到十分相似Paypal的付款通知,還列出該使用者的消費明細。因此,威強電CSIRT每周進行釣魚郵件演練,針對不同員工發送釣魚郵件,對新進人員或曾上鉤過的職員,演練次數更為頻繁。
除了人員管理,CSIRT也負責補漏。因為,光做資安防護,還是難以避免既有系統產生的重大漏洞。CSIRT收到重大漏洞訊息後,會先識別,判斷該產品、弱點系統是否為公司使用的,以及產品影響範圍、嚴重程度,再來安排修補計畫,比如修補時間與服務運作時間錯開等。
CSIRT另一個工作則是合規,包括ISO相關認證,以及各領域的產品資安驗證。比如,威強電有家美國醫療業客戶要求,除了得通過ISO認證,還得符合美國食藥局(FDA)相關規範,才能過關。
以第三方檢測為強化手段
除了基礎工作,張素碧也分享威強電CSIRT進一步加強之處,首先是委託第三方進行資安檢測,至少要1年1次。威強電同時也採購掃描工具,來自行檢測安全性、改善問題。
再來,CISRT還定期委託第三方作業,請配合的資安研究員,偵測集團對外服務是否有漏洞或需改善之處。另一方面,CSIRT也會不定期進行滲透測試和紅隊演練,來強化資安力。
不只如此,CISRT每年還會不定期進行客戶資安稽核,讓客戶檢核威強電的資安環境。張素碧坦言,這種稽核比ISO稽核更有挑戰,因為客戶在意產品是否在足夠安全的環境下生產,因此會格外仔細檢核。
這些做法都是威強電加強資安的手段。不過,今年,ESG企業永續發展成為企業資訊長的重要目標之一,張素碧透露,威強電不只讓IT參與ESG績效討論,也跟進國際腳步,將資安治理和資安長角色納入其中,遵循國內外ESG法遵發展。
熱門新聞
2024-12-10
2024-12-10
2024-11-29
2024-12-11
2024-12-10
2024-12-08