Security Summit 2024：台灣業界齊心合力提升供應鏈防護等級

為期兩日的資安峰會，聽眾熱情參與迴響熱烈。DIGITIMES攝

在資安日益重要的現代社會，隨著科技的快速發展與數位轉型的加速推進，企業和政府面臨的網路威脅不斷加劇。為了應對這些挑戰，業界必須從多個角度提升資安能力，尤其是在供應鏈、5G、量子計算和物聯網領域。DIGITIMES、台灣資安主管聯盟與行動資安聯盟在Security Summit 2024資安峰會上深度探討了這些資安議題，並提出了有效的應對策略。此活動強調了在企業運營中提升資安韌性的重要性，涵蓋了從供應鏈資安、5G專網到硬體防護技術、量子計算等多方議題。

全球供應鏈資安挑戰已不容忽視

供應鏈安全已成為全球企業資安的關鍵問題之一。供應鏈安全之所以重要，是因為任何一個供應鏈環節出現問題，都可能導致整個系統的脆弱。台灣資安主管聯盟副會長暨遠傳電信資安長朱建國於峰會第二天開場致詞時表示，當前企業面臨的挑戰之一就是如何確保其供應商的資安水平達到要求。台灣的企業供應鏈多數較為分散，而其中72%的企業供應商曾遭遇過勒索病毒的攻擊，這對企業的整體資安防護構成了極大威脅。

企業必須關注的問題不僅是其自身的網路防護措施，還要確保供應鏈中的每個環節都同樣具備足夠的防護能力。駭客已不再單單攻擊大型企業，而是更傾向於攻擊那些資安水平較弱的小型供應商，並利用供應鏈漏洞對整體系統發動攻擊。這意味著企業不僅要建立強大的防火牆和網路安全系統，還需對供應鏈上下游的合作夥伴進行資安能力的評估和審查，確保整個鏈條的資安穩定。

全球視角下的資安風險

不僅台灣企業面臨資安挑戰，全球範圍內的資安事件層出不窮。台灣網路資訊中心董事長黃勝雄也呼應了朱建國的說法，全球性資安事件的規模越來越大，許多案例甚至未曾被廣泛報導，例如印度在過去一年中發生了一起規模高達8.1億筆醫療數據外洩的事件，而這類事件在全球範圍內頻頻發生，對公眾與企業的數據安全構成極大威脅。

在台灣，詐騙事件也持續增加。據報導，2023年因詐騙造成的損失高達88億台幣，而到了2024年7月，單月損失已經飆升至110億台幣。這些數據顯示，隨著技術的發展，詐騙行為的複雜性和規模也在不斷擴大。對於企業而言，提升資安防護的投入不再僅僅是一項支出，而是一項必要投資，以確保其在面對未來更多潛在威脅時具備足夠的應對能力。

黃勝雄還強調，儘管台灣政府已經在資安防護方面投入了大量資源，並且成立了多個專門針對資安的機構，企業在面對資安威脅時依然存在諸多挑戰。部分企業缺乏資安專業知識，難以理解與應用技術層面的專業術語，此外，對於資安投資的回報率仍存在疑慮。企業需要更具體的指導，了解如何最大化其資安投入，從而提高資安防護能力。

硬體晶片資安風險雖低，但攻擊力道強大

隨著物聯網、人工智慧和大數據等技術的發展，硬體層面的資安問題越來越受到關注。資策會資安科技研究所副所長高傳凱指出，儘管硬體遭受攻擊的風險相對較低，但一旦遭到攻擊，影響往往會非常嚴重。具體來說，晶片的旁通道攻擊和硬體故障注入是兩種常見的攻擊方式，這些攻擊方式能夠繞過傳統的網路防護，直接針對硬體進行破壞或竊取數據。

面對這些潛在威脅，業界開始採取更加複雜的防護手段。例如，高傳凱介紹了一種名為訊號混淆的技術，該技術通過干擾攻擊者的數據分析，來增強晶片的資安防護能力。雖然這類技術可以有效提升硬體的防護能力，但它同時也增加了晶片獲得國際認證的難度，對於業界而言，這是一個必須解決的矛盾點。

華邦電子和旺宏電子在硬體領域同樣也分享其對應作法。兩家公司均推出了針對資安應用的快閃記憶體產品，這些產品被廣泛應用於金融、醫療等對數據安全有極高要求的行業。

華邦電子安全快閃記憶體經理戴士雄表示，華邦過去在資安領域已有20年以上的經驗，所以業界常見的資安認證，旗下的Secure Flash產品線，大致上皆有取得。華邦的W75F快閃記憶體已獲得EAL5+認證，這使其成為全球高資安應用的重要選擇之一，所以可以滿足金融交易這類的高資安等級應用場域。戴士雄也透露，一般來說，傳統的系統設計可能可以透過MCU類型的晶片，視為安全元件，由這類產品肩負整體資安的工作，但萬一該元件被迫離線，讓系統失去保護，那麼快閃記憶體能否扛起這樣的重責？答案當然是肯定，若沒有MCU的情況下，也能省去較多的成本與面積，而且駭客也不易攻破內部的邏輯電路，對客戶而言是性價比相當高的選擇。

而旺宏電子產品行銷處專案部經理葉金瓚則指出，相較於eFlash與外掛的SPI Flash，Secure Flash在資安的表現皆明顯優於前兩者，同時他呼應高傳凱的說法，旺宏的確會導入亂數產生器的設計，讓駭客產生混淆，避免讓駭客取得金鑰，另外旺宏也有其他機制來避免其物理攻擊，確保其儲存的資料。葉金瓚談到，實務上，也有駭客會刻意竄改系統內的程式碼，為了確保系統能得以正常運作，旺宏旗下的ArmorBoot MX76會在系統啟動前，先一步確認系統的程式碼是否正確，若有異常也可以透過事先內建的程式碼，讓系統啟動後得以正常運作。

同樣也是以硬體視角出發，Swissbit AG亞太區業務經理林愛雪則指出，Swissbit的iShield Key產品線主要是以USB模組，協助客戶以多因素驗證（MFA）的方式來抵禦駭客在不同的應用場景中透過社交工程的方式來竊取客戶在公司內的機密資料。而偉康科技資深資安顧問林杭昱則是以Swissbit的合作伙伴角度，分享偉康科技如何協助金融業與跨產業客戶在各種應用程式服務上導入FIDO，透過這種作法，客戶能直接用生物辨識的方式進行登入，而無需採用傳統的密碼來登錄公司系統，避免可能有其他同事知道密碼進而帶來潛在的人為風險。

國內推動行動應用程式檢測，初步已見具體成效

隨著物聯網和智慧城市技術發展，行動應用程式的安全性變得越來越重要。行動應用資安聯盟副會長黃政嘉在峰會上強調，行動應用資安檢測的嚴謹性至關重要。該聯盟已建立了一套完善的技術認證體系，這一體系不僅涵蓋行動應用程式的檢測，還涉及到物聯網裝置，從影像監控系統到智慧交通、門禁系統等皆可依其資安強度進行分級檢測。

這一檢測標準已經初見成效，並逐步在國際上推廣，特別是針對東南亞市場。台灣在這方面的技術已具有國際競爭力，未來隨著物聯網技術的進一步普及，資安檢測技術的重要性將會更加突出。特別是物聯網設備在家庭、工廠等環境中的應用，對數據保護和隱私安全的需求會持續增加。

OT資安仍是關鍵，IEC 62443扮演重要標準

隨著智慧製造技術的快速發展，營運技術（OT）系統的資安問題逐漸引起重視。OT系統和傳統IT系統在邏輯和運作模式上存在顯著差異，這也導致了不同的資安需求。

四零四科技產品行銷經理郭彥徵指出，OT系統通常運行多年，無法輕易進行更新或替換。其次，大多端點設備的硬體效能相對有限，內建的處理器性能不足以處理加解密的工作，這使得防護工作更加困難。為了解決這一問題，企業可以採取網路協防的方式，通過部署防火牆和入侵檢測系統來提升安全性。另一方面，IT與OT的資安邏輯也不甚相同，前者希望各部門之間需要一定的隔閡以確保安全，但OT現場，從SCADA到PLC，彼此之間都需要存取或是傳輸資料，這些觀念上的差異都會造成資安實務上的兩難。

國際自動化協會台灣分會行銷長詹燿州則提出了基於IEC 62443標準的解決方案。這一標準涵蓋了資產擁有者、設備供應商和服務提供商三個不同角色，並要求三方協同合作來確保整體系統的安全性。目前，已有多個國家將IEC 62443納入其國家標準，這為未來OT系統的資安防護奠定了堅實基礎。業界甚至也開始將雲端服務供應商（CSP）納入IEC 62443的討論範疇，進而讓OT與CSP之間的資安防護可以更加落實。

量子電腦成傳統加密模式威脅，後量子密碼學概念興起

量子計算技術的發展對傳統加密技術構成了新的挑戰。池安量子資安技術顧問郭博鈞指出，隨著量子計算的計算能力提升，許多現行加密技術如RSA和ECC可能在未來失效。傳統加密算法依賴於現代計算機無法在合理時間內破解某些數學問題的特性，但量子電腦卻有辦法在短時間內破解，也因此市場開始討論後量子密碼學的概念。

郭博鈞表示，儘管現今量子電腦的發展還處在初期階段，可能仍有不少困難需要克服，對於現今的密碼破解來說不會造成威脅，但可能有很多資料的保存期需要維持至少幾十年，屆時的時空背景可能是量子電腦技術相當成熟的時期，所以很多資料的外洩是可以預期的。美國政府也預計，到2035年為止，將會花費71億美元進行加密系統更換，所要更換的系統就是採用後量子密碼相關的設計架構，在該領域中也會探討像是數位簽章的發展。台灣的表現其實相當出色，郭博鈞也提及量子安全遷移中心（QSMC）這個全球組織，正致力於發展後量子密碼學，台灣自然也在該組織扮演不可或缺的角色。

5G專網提升資安強度，供應鏈資安需從業務面向著力

峰會第二天的Panel，則是分別由辰隆科技總經理婁道生與合勤投資控股資安長游政卿，就5G專網資安與供應鏈資安管理實務等議題進行分享。

婁道生分析，5G專網對於企業資安來說基本上會有加分效果，他指出單以無線網路而言，Wi-Fi畢竟還是採用開放頻譜的作法，相較於3GPP所提供的專頻專網，前者仍會有駭客利用開放頻譜的特性進行攻擊，但後者本身就會有3GPP的認證機制加上使用者付費機制等，所以資安防護等級相對較高。但婁道生也提醒，在企業內部資安防護工作都已經到位，員工也能善盡本分的前提下，需要留意的是外部維修人員對於企業資安帶來的威脅。

游政卿指出，供應鏈資安的挑戰不僅來自技術層面，還涉及國際間對資安標準的差異。駭客不一定攻擊最弱的一環，他們可能從「最具價值」的目標下手，一旦攻破其中一家企業，便能逐步攻擊其供應鏈中的其他企業，擴大影響範圍。游政卿更強調，強化資安防護不應只是單純要求供應商配合，還應將資安措施與業務訂單綁定，唯有如此才能推動整體供應鏈提升資安意識，採取正確的防護行動，避免盲目投資與不當操作，反而得不償失。

從Security Summit 2024第二天的議題分享可以發現，面對日益複雜的網路威脅，企業必須採取多層次的資安防護策略。首先，在供應鏈方面，企業需要關注上下游合作夥伴的資安能力，並進行定期審查和監測，以避免整個系統因供應鏈的某個環節遭到攻擊而受損。

其次，隨著量子計算技術快速發展，企業需要著手準備採用後量子加密技術來保護其數據。此外，在5G和物聯網等新興技術領域，企業應強化其專網和邊緣設備的安全性，並針對這些新興風險制定專門的防護方案。

最後，面對持續增長的數據洩漏風險，企業還需考慮如何在法律和合規要求下保護用戶隱私，特別是針對金融、醫療等高度依賴敏感數據的行業。無論是透過技術升級還是安全策略調整，未來的網絡安全形勢將要求企業具備更高的靈活性和預測性，以應對不斷演變的威脅。

總體來說，Security Summit 2024資安峰會提供了一個廣泛而深入的平台，讓業界領袖能夠共同探討並解決當前最棘手的資安問題。隨著網路威脅的不斷演變，企業和政府機構需要保持高度的警覺，並積極採取防護措施來應對未來可能出現的各類資安挑戰。

附檔：0926_06_ISA_s-04813.jpg

附檔：0926_Moxa攤位_s-09641.jpg