產品安全已成企業資安重大隱患

不論企業是否推動數位轉型，IT技術應用早已無所不在，企業可能是相關產品或服務的直接或間接用戶、供應商、開發商、合作往來的業者，而在同時，惡意軟體與駭客攻擊也如影隨形，不斷針對各個環節進行滲透、窺伺、破壞，而這樣的議題不僅牽涉到供應鏈安全，當然也是產品安全。

而在我們2019、2020、2021的年度資安趨勢預測當中，也都將供應鏈安全納入重大關注重點。以2020年為例，原本我們以為不會有太重大的這類型資安事件，不料，年底爆發震撼全球的SolarWinds事件，最初之所以發現，竟是從資安廠商FireEye主動揭露遭駭、紅隊測試工具外流，之後，美國政府的重要部會機關，以及多家IT大廠也都傳出他們遭到這類攻擊的滲透。

此次供應鏈攻擊事件的受害規模有多大？12月14日，資安新聞網站Krebs on Security引述SolarWinds先前在該公司網站公開的採用企業與組織名單，進行推估分析，當中提到他們有30萬個以上的客戶，其中美國財星5百大企業就有425家採用。同日，美國證券交易委員會（U.S. Securities and Exchange Commission）也在電子資料收集、分析及檢索系統（EDGAR）的公司文件區發布相關報告，當中提到採用Orion產品的用戶估計是3.3萬個，而SolarWinds向他們表示，可能安裝包含這項漏洞的產品用戶，少於1.8萬個。

12月15日，新聞網站Business Insider列出13個政府機構，29家公司，其中包含微軟、思科、Yahoo!等IT公司；到了12月20日，FireEye執行長Kevin Mandia接受CBS新聞臺Face the Nation節目專訪時透露，可能有50個組織或公司受害；同日，彭博社發出一篇報導，引述資安業者Recorded Future的統計，有198個受害單位因SolarWinds後門而被駭，但這篇報導也提到可能不僅止於此，至少是200個。到了12月21日，華爾街日報又揭露一批受害公司清單，當中包含上述提及的思科，以及運算晶片廠商英特爾、Nvidia、虛擬化軟體廠商VMware、家用網路社廠商Belkin、國際會計師事務所Deloitte。

而2021年1月初，臺灣也有供應鏈相關的重大資安事件遭到揭露，那就是我們在本期週刊報導的台灣大哥大自有品牌Amazing A32手機一案。

就事件首度曝光的時間點而言，最初是在2020年7月，警調單位接獲遊戲點數詐騙案件的通報，之後收集多達四十多起案件之後，發現共通點竟是同一廠牌的手機，經過數位鑑識確認這些設備遭到木馬程式的植入，接著通報到國家通訊傳播委員會（NCC），10月開始有新聞媒體報導此事，但並未揭露所屬廠牌，僅知道是中國白牌手機。

直到今年1月6日，NCC發布新聞稿、電信公司台灣大哥大發表聲明稿，這整件事才正式浮上檯面，也因為此案不單是品牌廠商與合作廠商的資安問題，還有導致用戶成為詐領遊戲點數人頭帳戶而遭警方調查的狀況，而使得該公司於6天之後再發出聲明稿，表示將提供必要的法律援助，而NCC也在隔天發表新聞稿，要求業者召回手機，妥善處理消費爭議。關於這件事目前已知的來龍去脈，以及消費者所蒙受的不便與委屈，我們的資安主編羅正漢也撰寫了新聞，希望透過這樣的報導，讓社會大眾更了解這件事的現況、發生原因、後續對於業者與用戶的衝擊，以及喚起各界對於產品安全的重視。

關於產品安全近期也有一些好消息。例如，資安廠商Fortinet於1月13日發布公告，宣布他們通過經濟部工業局、投審會的驗證，確認為合法銷售非陸資且非陸製的產品，這兩個單位分別在2020年8月底與9月中回覆他們認定的狀況；網路設備廠商友訊科技（D-Link）恰巧也在同日宣布，已於2020年通過IEC 62443-4-1產品安全開發認證，而其背後協助導入與建立制度的廠商，正是臺灣資安新創公司安華聯網科技，經過5年的努力完成這項產品安全強化的機制。