資安韌性是永續治理議題

企業韌性、韌性供應鏈已經成為現代企業營運必須要重視的概念之一，數位科技可以協助企業營運的韌性(請見「如何利用數位科技打造Just in Time與Just in Case平衡的韌性供應鏈?」。但是，虛擬、網路空間也需要韌性嗎? 網路韌性或資安韌性(Cyber Resilient)就是當前熱門的議題。

為甚麼資安韌性成為重要的議題呢? 以下幾個國際著名資安事件就可以知道端倪:

• 2020年底，全球IT資源監控SolarWinds公司的監控軟體被植入惡意程式，導致全球致超過1萬個以上企業客戶的電腦設備被病毒感染。
• 2021年，每天輸送250萬桶油品，運送量占美國東海岸供應量的45%的美國殖民管道公司遭到網路勒索攻擊，導致美國東海岸石油供應短缺、使得美國多個州宣布進入緊急狀態。
• 2021 年，駭客嘗試針對佛羅里達州水處理設施進行網絡攻擊，使水的氫氧化鈉含量增加到有毒水準。
• 2022年四月，惡意程式嘗試攻擊烏克蘭能源供應商IT網路、工業控制系統。
• 2021年，電信公司巨頭T-Mobile存在安全漏洞，超過7,660萬用戶個人訊息在網路上被販售，最後支付3.5億美元的集體訴訟。2022年，T-Mobile又陸續被駭，丟失超過3,700萬客戶資料。
• 
  

這些資安攻擊已經不是單純的公司內部資訊安全問題而已，已經影響到: (1)社會(Social):客戶隱私數據散佈與損失、社會民生影響；(2)環境(Environment):油、水、電等環境；(3)治理(Governance):公司的金額賠償、信譽損失、股價下跌等。

根據星晨永續評等公司統計，遭受資安事件攻擊的公司1年的股價表現較S&P 500指數低12.2%、該產業股價水準低10.8%。因此，WEF世界經濟論壇、JP Morgan財富管理公司、KPMG管理顧問公司等均認為資安韌性就是ESG的重要治理因素。

事實上，我國金管會要求求上市櫃公司在2023年年底前，配置一定比例的資安人員。歐盟於2022年發展《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時，須滿足法規要求之網路安全標準，始得於歐洲市場上銷售。

 圖、資安韌性成為ESG永續治理一環

(資料來源: Morningstar Sustainalytics等公司)

數位科技資安韌性應用趨勢

那麼，數位科技如何協助企業提高資安韌性，抵禦資安攻擊呢? 以下從資安發展趨勢，舉例新創應用案例。

• 物聯網資安防護:當軟體不僅在天邊的雲端，也在隨身的手機、穿戴式設備乃至於汽車裝置、工廠設備時，資安威脅也隨之無所不在。此外，聯網設備牽涉到交通號誌、工業控制設備、油水電等設施，對於人們的生命威脅更大。例如:芬蘭Valtia公司管理的集合公寓的電熱系統，受到名為Mirai Botnet的殭屍病毒進行分散阻斷式隔絕攻擊而無法啟動，會造成無暖氣可用，體弱的居民被凍死；Valtia公司緊急啟動手動控制，仍然無法成功，花費一星期才讓系統恢復正常。Karamba Security新創公司是專攻汽車物聯網安全的資安保護。Karamba與汽車品牌、零組件、車載娛樂等廠商合作，將安全控管政策、通訊標準植入韌體中，避免非授權的網路存取。此外，車內電子發動器間溝通加密，避免訊息被截取、非授權下命令、網路流量超載攻擊等。ASIMILY著重在醫療領域的設備資訊安全防護，重視不同醫療品牌設備的參數，如品牌、設備型態、軟體版本及與其他設備、IT設備間的網路連結關係，分析是否有異常聯網狀態，而後進行預測、提出警訊及資安處理等動作。

圖、汽車聯網資安防護

(資料來源: Karamba Security官網)

• 供應鏈資安檢測: 軟體與雲端服務整合、物聯網連結、虛實整合等應用發展，意味著產品服務愈來愈複雜、相互結合的元件愈來愈多，也形成更大的資安風險。以此，愈來愈多企業發展軟硬體供應鏈檢測、供應鏈軟硬體信任聯盟、軟體開發生命週期檢測等以防止未知的漏洞在軟硬體的供應鏈中。例如：Binarly公司利用深度檢測平台以協助企業、產品廠商能發現硬體級別的安全缺陷，以檢查設備是否存在惡意程式碼、異常、漏洞或錯誤配置方式，以識別、評估潛在問題。BoostSecurity公司則發展一個 DevSecOps自動化檢測平台，可以幫助檢測和修復漏洞，以協助雲端服務開發生命週期資訊安全檢測以發現存在的軟體或元件的漏洞。

圖、軟體開發生命週期供應鏈檢測(資料來源: BoostSecurity官網)

• 零信任架構保護: 由於智慧手機、聯網設備、混合雲等聯結，資安攻擊可以從各種管道發起，防不勝防。因此，新的資訊安全策略聚焦零信任架構(Zero Trust Architecture, ZTA)，亦即，所有應用存取前，都要強制且基於證據的判斷，才予以信任或放行；而且，每次存取都要評估，以取得信任。美國政府、歐盟、日本、新加坡、中國大陸均要求政府機構、關鍵基礎設施單位導入零信任防護。我國數位部亦要求A級公務機關導入零信任架構，2023年將聚焦身分鑑別的網路安全的零信任轉型。許多世界大型的資訊安全軟體公司亦積極地發展零信任架構。Authomize新創公司的資安服務可以辨別雲服務、應用程序、人員身分認證以及訪問權限、活動別等，以檢測、調查和回應風險和威脅。Authomize並提供企業查看人員、應用程式的實際訪問權限、跨雲服務和應用連接過程，並建議最小權限以進行保護。

  圖、零信任架構最小權限建議(資料來源: Authomize官網)

• 資安事件處理與回應:那麼多的資安攻擊，如何快速地辨識與回應，以避免資安攻擊事件擴大，正是資安韌性的核心。許多新創公司亦因應此種狀況，提出不同防護的方式。例如：BreachQuest新創公司發現大多數公司要花280天才能檢測到資安威脅，因此發展事件回應平台，可以快速蒐集和分析安全事件數據，並辨別威脅、提出警訊以及制止攻擊，以加速恢復原狀。Camelot Secure 新創公司利用人工智慧和機器學習進行網絡監控、日誌分析、集成威脅情報源和行為分析。通過監控可疑活動和行為模式，Camelot Secure 可以在潛在威脅造成損害之前識別可能的網路威脅，以快速地進行漏洞、風險評估等。

圖、資安事件處理與回應平台(資料來源: Camelot Secure官網)

小結

資訊安全已經不僅僅是資訊單位的問題，還影響到公司整體商譽、股價乃至於社會層面。資安韌性就是要能快速辨認可能資安威脅，快速回應與恢復，以減少公司、顧客、社會的傷害，成為ESG永續治理的衡量指標之一。您開始檢視公司資安韌性的治理問題了嗎? 現在開始不嫌晚!!