供應鏈加強資安篩選與企業提升競爭力

通路或大型客戶集團，對廠商提出符合資安需求的評選問項，已不是新聞。但是，我們也觀察到曾有企業在回應資安問項時，對於其內容不慎深入了解，造成回覆內容與其具體措施較有落差，導致整體評核分數為「０分」，做生意不得其門而入！還好透過積極因應，求助專家經驗以資安風險評估方法，進而建立資安改善、運維來滿足管理面及技術面稽核要求，並得以順利進入供應鏈。

從巿場結構來看，供應鏈的最下游客戶，可歸類為極大的上市櫃公司或通路、大型客戶，或終端消費者。而大型客戶為確保善盡資通安全的規範，而連帶要求緊密配合的供應鏈，以免因為廠商資安事件，導致企業的權益受損。這如同木桶理論：這裡面只要有一個「破口」，資料就外洩了！就像對於設備代理業來說，身為客戶大廠的供應鏈，也須履行其採購合約對廠商要求義務，在資安曝險事件發生的第一時間，應立即通報客戶指定窗口，避免事後擔起過失責任的風險。消費者面對日益猖獗的詐騙手法，更是在各方的宣導下，提高警覺，避免自身財務受損，為保障權益而慎選交易平台。

因此，面對上游客戶對其供應加資安篩選的要求，或消費者對品牌的挑選，更要加強資安措施，不僅提升企業競爭力，更是善盡企業責任及義務，提升品牌形象。

上游客戶對供應鏈加強資安篩選的影響關聯示意圖

資安威脅嚴峻與企業提升品牌形象

近期分析指出臺灣企業在2022年的整體遭駭指數為50％，意思是一年約50%時間處於容易遭駭的脆弱期，高達183天。此相較前一年度的163天還要多了快2週時間，平均一年需通報到資安長的資安事件約17次，需要6天才能發現自己遭到攻擊，發生事故後平均需要4.8天，系統才能恢復正常運作(註1)。其中的影響所造成對營運不順暢、中斷及對品牌形象的衝擊造成營運受損，更是無法量化。而從服務業的角度，我們可以借鏡上海商銀（金融服務業）發生未完善建立及未確實執行內部控制制度的情形，導致1.4萬名客戶資料外洩，而且未能保有相關軌跡，遭受金管會裁罰鍰金額:新臺幣1,000萬元(註2)。目前外洩來源至今仍不清楚，但金管會推測，很有可能是從資訊廠商或行員流出。

又像全台YouBike系統（微笑單車）在2023年5月間遭外部網路攻擊，導致騎乘紀錄外流。微笑單車隨後在官網公告，公司依照已通過國際驗證之ISO27001資訊安全標準及BS 10012個資管理標準，進行全面系統潛在風險盤查，提升資安強化與系統防禦能力。並針對微笑單車遭網路攻擊事件，基於企業社會責任與道義責任，經擴大盤查後，提出補償方案(註3)。據悉補償受影響會員每人面額500元的YouBike 2.0補償騎乘券，預估共發放4萬餘筆。

然而，緃使面對資安威脅越趨嚴重，企業若能事先做好評估與執行內部避險措施，例如：建置資通安全管理的具體措施或通過國際驗證的程度。即便不慎遇到風險發生，也因為內部制度做好落實規範，而能有效轉危為安，免除罸責外，更藉機提升品牌形象。

參考資料來源：

註1：https://www.ithome.com.tw/article/159258 ，iThome，文/王宏仁 | 2023-10-27發表。

註2：https://mops.twse.com.tw/mops/web/t05st01，公開資訊觀測站，上海商銀，2023-11-28發表。

註3：https://www.youbike.com.tw/region/main/news/service/64704fa8e3d8e8061e7d23b3/ ，Ubike官網，2023-05-26公告。

延伸閱讀＞

【簡報下載】EP11. 保護客戶、生產與營運安全，企業永續經營不能失守的資安基礎建設！

【AI】行動智慧公司：ESG 智慧企業一箭雙鵰，環保與資安併行

算無遺算？用定期稽核與風險評估持續精進資安策略

老舊廠房不該是駭客眼中的肥羊！守衛製造業的聯網資安勢在必行