供應鏈資安新挑戰:從防護到合作的全方位策略
- 鄭茨云/台北
-
隨著全球供應鏈的連結更加緊密,再加上駭客攻擊手法不斷升級,供應鏈的資安問題在近年來層出不窮,成為台灣科技產業面臨的重大挑戰之一。過去,企業多認為只要自己做好防護,並領先其他企業,就可以高枕無憂。然而,隨著全球化程度的提升,這種過去的思維顯然已經無法應對當前複雜多變的資安風險。
合勤投資控股資安長游政卿於日前DIGITIMES舉辦的資安峰會中指出,以往常被引用的資安比喻是:「當熊追逐你與其他人時,只要你跑得比別人快,就能逃過一劫。」但現在的狀況卻變得更為複雜:不僅是一群熊追逐一群人,而且這群人彼此還有繩子連結在一起。換句話說,單一企業已經無法在供應鏈的資安領域中「獨善其身」,需要採取更全面的措施來應對。
除了駭客攻擊手段日新月異,台灣科技產業還面臨資安人才短缺的問題。游政卿坦言,半導體產業的「磁吸效應」使得其他領域難以吸引足夠的資安人才,更遑論培育與留任。此外,數位轉型所帶動的雲端服務應用快速增長,許多中小企業在推動數位化的過程中,往往在提升效率之後才開始考慮安全問題,如果管理層沒有足夠的資源來應對,便會增加風險。
供應鏈資安的挑戰不僅來自技術層面,還涉及國際間對資安標準的差異。駭客不一定攻擊最弱的一環,他們可能從「最具價值」的目標下手,一旦攻破其中一家企業,便能逐步攻擊其供應鏈中的其他企業,擴大影響範圍。
針對這些挑戰,游政卿分享了合勤的具體應對措施,將供應商分為四類:關鍵供應商、軟體供應商、硬體設備供應商,以及外包與顧問服務。對於這些供應商,合勤在採購合約中加入具體的資安管理要求。例如,若硬體設備本身搭載軟體或韌體,則必須提供「無毒證明」,以確保其不含病毒。這些要求會基於可用性、效能和保護性三大構面進行評分,每個構面6分,滿分18分,供應商需達到特定的標準才能通過審核。
對於中小型供應商,合勤也提供資安防護訓練,教導他們如何應對不同類型的攻擊。此外,合勤通過第三方風險管理(TPRM)持續監控供應商的表現,確保資安防護措施到位。游政卿表示,對於能夠積極改善資安防護的供應商,合勤會加深信任關係,但若供應商無法改善,則可能影響未來的合作。
總結來說,游政卿強調,強化資安防護不應只是單純要求供應商配合,還應將資安措施與業務訂單綁定。唯有如此,才能推動整體供應鏈提升資安意識,採取正確的防護行動,避免盲目投資與不當操作,反而得不償失。
