文/羅正漢 | 2025-04-30發表

「去年9月的黎巴嫩呼叫器爆炸案,造成大量傷亡,事件最初外界一度懷疑,該設備是某臺灣上市公司所製。」國家資通安全研究院副院長龔化中表示,這起事件令政府高度緊張,立即展開調查,雖然後續證實該公司並無涉入,但此一風波突顯出:一旦資通訊產品出問題,不僅企業品牌將受衝擊,國家形象亦難置身事外。

過去兩年,我們報導許多產品資安法規的動向,已然突顯全球各國積極制定產品安全與物聯網安全法規的趨勢

今年臺灣資安大會上,我們觀察到新的變化,以產品資安為主題的演說數量明顯增加,特別的是,身為國家資通安全研究院副院長的龔化中,也在一場演說中揭露這方面的整體態勢。

產品資安對ICT廠商的營運有4大影響

從全球法規來看,產品資安變得更具約束力,這對資通訊廠商有何營運影響?龔化中整理出4大面向,並逐一解釋。

(一)在產品行銷與政府採購限制方面,近年來部分國家推動相關措施,如資安未達標準或未取得標章者,可能無法在當地行銷,或在政府採購中不被優先納入考量。雖然尚非強制規範,但已對市場造成實質影響。

例如,美國白宮在今年1月正式公布美國網路安全標章(U.S. Cyber Trust Mark),目的是推動智慧家庭連網裝置符合進階網路安全標準,便於消費者更容易辨識符合規範的產品;還有日本政府推出的JC-STAR 物聯網安全評級制度,以及新加坡政府推出的網路安全標籤計畫CLS。

(二)在市場准入法規限制方面,部分國家採取更嚴格的措施,要求受規範的數位產品須符合當地產品安全法規,否則將不得販售並處以鉅額罰款。意味國內製造商未來要在當地市場銷售產品,都要遵循其產品安全規範。

例如,歐盟2020年提出的《網路韌性法》(Cyber Resilience Act),已經在2024年10月通過,將於2027年強制執行;英國也在2024年發布《產品安全暨電信基礎設施法》(PSTI Act)。

(三)在主管機關處罰方面,美國FTC曾因產品危害用戶隱私與資安而提告的情形,例如,臺灣8年前就有網通產品業者被起訴,付出大筆和解金;歐盟也針對因企業資安事故造成個資洩漏的狀況,向違反GDPR的公司祭出鉅額裁罰,許多案件被罰金額高達上億歐元。

(四)在商譽損失與客戶求償方面,去年Crowdstike全球大當機事件是一例,更早之前還有像是2019年Amazon Ring與2020年智慧照明Hue,也有因資安問題導致出現客戶求償的狀況,而賠了不少錢。

產品資安不只影響產品製造商,也影響國家安全

「產品資安不僅對ICT業者帶來業務上的影響,也會影響國家安全。」龔化中呼籲國內業者必須正視整體態勢,深入理解產品資安的重要性,他特別舉出兩例來說明。

例如,中國去年舉辦的「矩陣杯」漏洞挖掘競賽吸引了三千名參與者,其成果發現超過百個存在於通用產品的漏洞。

儘管漏洞競賽的初衷立意良善,但大家如果對中國有所了解的話,應該知道中國有不同的規則存在,發現的漏洞並不能先行通報廠商進行修補。根據中國於2021年發布的《網路產品安全漏洞管理規定》,新發現的漏洞必須先向中國政府報告,且禁止向包括海外組織在內的任何單位公開披露。

換句話說,上述發現的100多個零時差漏洞,都會被中國政府獨家且早期掌握,很有可能對國家安全造成很大影響。

另一例是今年年初,中國駭客有資訊洩漏被外界發現,其內容顯示中國正研發一款AI驅動的網路攻擊原型工具,專門搜尋並利用物聯網設備漏洞,且鎖定目標均為臺灣的ICT產品。

提供兩大降低ICT產品資安風險的因應對策:解決CVE、避免CWE

臺灣產業必須意識到,產品內建安全已成基本要求,尤其在漏洞管理方面更不容忽視。

龔化中指出,資安院近3年協助政府進行資安檢測,發現因產品漏洞引發的資安事件數量,呈現逐年顯著攀升的趨勢。根據他們統計,從2022年的33件,增加至2023年的55件,2024年倍增至110件。

雖然從整體資安事件的成因來看,產品漏洞在2024年僅占14%,比例看似不高,但龔化中強調,只要漏洞存在且未及時修補,就可能遭到重複攻擊,因此這是資安院與政府都在積極推動的重點工作,也就是建立更完善的漏洞通報機制,當發現漏洞時,能及時通知相關機關加速修補,避免同一漏洞持續被利用、造成更多資安事件。

但換個角度來看,不僅是使用者要顧好資安、積極修補漏洞,產品開發者或供應商的責任更為關鍵,沒有廠商去因應漏洞問題,用戶也無從更新修補。

因此,對於我國資通訊產業而言,面對產品安全風險,不僅是符合最新法規規範,也是避免放任這類問題成為破口。

對此,龔化中強調兩大風險因應對策:(一)針對產品發布後的CVE漏洞問題(亦即產品上市後才發現的已知安全弱點),應透過SBOM管理、弱點掃描及時韌體更新等方式加以因應;(二)針對產品開發階段的CWE問題(亦即在軟體設計與開發過程中產生的常見軟體弱點),則應透過SSDLC安全軟體開發生命週期、源碼掃描、滲透測試,以及完善的通報修復系統來因應,減少後續的CVE漏洞問題。

同時他另揭示,在2025年,資安院將大力推動ICT產品資安,預計有3項行動計畫將會施行,希望幫助更多國內產業能跟上國際潮流。

畢竟,如今全球各國積極制定產品安全、物聯網安全法規,將產品基本安全要求的標準一再拉高,這也會是臺灣製造商的機會,我們可以更明確掌握產品資安必須強化的方向,進而提升產品的安全性與市場競爭力,在全球市場中取得更有利的地位。
 

繼續閱讀:資安院公布產品資安3大策略,重視安全軟體開發與檢測人才,推動PSIRT、臺灣ICT產品漏洞獵捕計畫

iThome Security

熱門新聞

Advertisement