因應駭客攻擊手法多元化,在國科會科技辦公室指導下,台北市電腦公會參考CMMC、CIS control框架,發展臺灣供應鏈資安成熟度評估平臺,助企業可自行評估在資料保護的完備度,進而提升資安防護力。

隨著全球企業的資安意識提升,駭客組織在持續研發新型態惡意程式之外,亦採取迂迴入侵的供應鏈攻擊模式。最知名案例,莫過於2020年底美國知名軟體公司SolarWinds工具軟體遭到入侵的事件,加上隨後爆發log4j Java漏洞、Kaseya軟體公司被勒索軟體攻擊等事件,全球受害廠商難以計數,也凸顯出軟體供應鏈攻擊已成為現今主流。在臺灣市場部分,2020年起也爆發多起公部門遭入侵案例,根據法務部調查局資安工作站深入研究發現,泰半肇因於承包政府標案的廠商遭入侵, 以至於政府機關提供業者遠端操作維運的VPN連線 ,變成駭客組織遠端入侵的破口。

為遏制供應鏈攻擊事件,各國政府紛紛推出相關法規,如美國政府推出乾淨網路計畫、CMMC網路安全成熟度模型,確保承包商遵循以保護網路上的敏感資訊。歐盟則推出歐盟網絡安全法,為資訊與通訊相關產品、服務和流程建立歐盟認證框架。鑑於臺灣政府機關持續遭到資安威脅,在落實資安等於國安的政策下,台北市電腦公會資安應用服務聯盟在國科會科技辦公室指導下,參考美國CMMC (Cybersecurity Maturity Model Certification)彈性評估框架、CIS Controls (Critical Security Controls)具體處理建議,推出供應鏈資安成熟度評估平臺(https://seminars.tca.org.tw/D15t01252.aspx ),並於2022年10月20日舉辦「強化供應鏈資安韌性與資安成熟度推廣活動」期盼協助臺灣資訊產業了解自身資安成熟度,作為日後改善資安防護力的參考。

國科會科技辦公室副執行秘書李育杰指出,多年前我們就觀察到,即便政府單位已建立滴水不漏的防護網,若協力廠商的資安程度不足,最終勢必會成為惡意威脅入侵的破口。所以駭客發動的供應鏈攻擊,正是看準業者資安程度較弱的漏洞,正是入侵政府單位的絕佳機會。政府單位要加強整體資訊安全防護等級,有必要協助軟體、資訊服務業者、SI業者等強化資安防護等級,2021年我們與台北市電腦公會合作推出供應鏈資安成熟度評估平臺,即是藉此鞏固每個委外供應鏈資安環節。

台北市電腦公會資安應用服務聯盟會長洪偉淦表示,由於臺灣經濟結構以中小企業為主,我們在國科會科技辦公室指導下,參考國際資安規範-CMMC及CIS control框架,發展適合臺灣產業特性的供應鏈資安成熟度評估方法及工具,助企業自行評估在資料保護的完備度。我們在2021年推出第一版評估工具之後,已有超過50家業者參與評估,並且給予相關回饋意見。2022年10月20日發表的第二版評估工具,則是依照CMMC改版與企業回饋意見後所推出,可望大幅降低臺灣中小企業自行評估的門檻。

TCA資安應用服務聯盟會長 洪偉淦

參酌CMMCCIS control 發展台灣供應鏈成熟度評估平台

前面提到,台北市電腦公會資安應用服務聯盟推出供應鏈資安成熟度評估平臺,是參考CMMC及CIS control框架而成。CMMC框架具備三大特色,首先是具備分層模型的概念,供應商需根據資訊的類型與敏感性建立分級制度,並將安全層級明確訂出,逐步實施網路安全標準。第二點則是評估要求,CMMC認證將經由美國國防部授權的第三方評估機構(C3PAOs)進行,以判定供應商是否合格。最後一點,則是合約強制性,若供應商要取得合約,則本身需達到特定的CMMC等級。

至於發展超過10年的CIS Controls,則是業界備受肯定的資安管理指南,為網路攻擊防禦提供一套具體的處理建議,讓每家企業知道需優先處理的部分,以及後續可帶來顯著防禦成效。

洪偉淦說,考量到臺灣資訊服務業者的規模多半不大,若直接套用CMMC框架,恐怕會增加多數業者自評的難度與意願。所以我們推出的供應鏈資安成熟度平臺,是整合兩份框架的特點後,轉換成符合臺灣資訊服務業者所能使用資安標準架構與內容項目,進而發展出「可操作、可執行」的資安指引。如此一來,除可吸引臺灣資訊服務業者參與自評,進而達到改善供應鏈資安的目標,有助於提升臺灣政府機關的整體防護成效。

「在協助企業清楚理解自身資安成熟度之外,提供後續未來精進之方向也非常重要。所以此平臺也針對每個問項,並參酌CIS 對控制項目的分類方式,提供18種資安解決方案。此18項方案更依照實施難度及效果,區分為速成補強措施、威脅監控定位、資安體質強化 、資安進階優化四類,可作為企業實施的順序參考。」李育杰解釋:「未來,我們也不排除在政府採購法中,要求參與標案的業者,必須取得一定程度的認證,藉此提升政府機關的供應鏈安全等級。」

國科會科技辦公室副執行秘書 李育杰

解決資安人才不足困境 多元管道齊下

隨著全球企業愈來愈重視資安議題,對資安人才需求自然也比過去更為龐大,預估目前全球資安人才缺口高達20萬人以上。前身為行政院科技會報辦公室的國家科學及技術委員會科技辦公室,主要負責國家整體科技政策的規劃與推動,自然也包含科技人才(STEM talent)培育。為解決臺灣資人才的缺口,目前政府機關已透過臺灣資安卓越計畫培育高階資安人才外,也透過與教育部合作共同舉辦新型態資安暑期課程(Advanced Information Security Summer School, AIS3),讓學生可透過實際參與網路攻防戰,累積寶貴資安實務經驗。

李育杰指出,在前述兩個培育人才的管道之外,我們也考量到並非每家中小企業都有能力聘用專職資安人才,所以想透過與台北市電腦公會合作推動供應鏈資安成熟度平臺,讓企業先了解自身不足之處。如此一來,再透過與臺灣資安業者合作,引進合適的資訊解決方案,達到強化自身防護力的目的。

面對詭譎多變的資安威脅,國科會科技辦公室將攜手台北市電腦公會資安應用服務聯盟,全力協助更多企業運用供應鏈資安成熟度平臺,在提升政府機關的整體防護力外,也帶動臺灣資安產業的發展。

供應鏈資安成熟度平臺服務申請: https://seminars.tca.org.tw/D15t01252.aspx

熱門新聞

Advertisement