導入資安為產業創新嗎?從投資抵減談起

政院將資安納入《產業創新條例》投資抵減優惠項目,和智慧機械與5G並列,期以鼓勵業者加速導入資安,強化產業資安能力。圖/本報資料照片

文/吳明璋 韋萊韜悅企業風險管理與經紀服務資深協理

11月25日為西方的感恩節,當天行政院給國內資安產界一份大禮。《產業創新條例》修正案將資訊安全納入投資抵減優惠項目,和智慧機械與5G並列。我於去年第11次全國科學技術第2天會議現場,向主管機關請益此事的可行性。相信許多人也有同樣的見解,我只是比較幸運、可以現場提問。一年後,在產官學研專家先進共同努力下,終於促成美事一樁。

因應全球供應鏈之動態版圖,本修正草案在於提升我國產業之國際競爭力:「強調資通安全亦為臺灣產業發展必須把握之關鍵領域,應儘速完備國內產業資安聯防體系,以確保我國產業在國際供應鏈上取得客戶信賴,並能因應國際日益嚴重之資安攻擊與威脅。」期望透過投資抵減鼓勵業者加速或提前導入資安,以儘速強化產業資安能力。

風險管理取代被動管理

從管理角度來看,為何導入資安為產業創新?這是高階主管的疑問。

過去資安被視為漏洞,或是產品缺陷的一環。不管在產品面的資安測試驗證,還是產品面的資安應變小組,被視為「成本」而非「投資」。意思是資安可做可不做。有賺錢才做資安,沒賺錢不做資安。

在我2019年起為公司董監事授課資安治理時,可以觀察到他們想法的蛛絲馬跡。根據今年為國內檢測機(AOI)業者之授課經驗,除了董事長之外、其他參與課程的主管(含IT)相當年輕。下課後,稽核私下對我說:資安他也不懂,等客戶要求再說。這種成本導向的思維,在國內高階主管屢見不鮮。

這種被動管理已不合國際時宜。資安的難處在於既要深入,又要全面。在有限的資安資源之下,資訊人或資安人面對許多資安管理的難題。因此,國際數位韌性實務以風險管理作為其資源分配的優先順序(Priority),也成為最新國際資安標準背後的精神。

資安標準往研發趨近

今年11月有機會針對上述投資抵減被徵詢產業意見,我從國際資安標準的角度提供以下的建言。由於過去我國業者甚少參與國際資安標準制定,在企業體質與產品資安要求落後於國際最佳實務。以美國「國家標準技術研究所」(NIST)「網路安全管理架構」產業標準(Cybersecurity Framework)為例,不僅要求企業與工廠的資安體質,同時也要兼顧硬體、軟體與韌體面資安。

另一方面,從最新國際產品類型(含機器設備)資安標準也可以看出端倪。不管是IEC/ISA 62443、軟體資安研發標準(BSIMM)、SEMI 最新資安標準(草案編號6506)或是車用電子資安標準(ISO/SAE 21434),將安全設計原則(Security by Design)原則整合至企業研發階段。也就是採取源頭管理,從產品設計之初就考慮資安風險。這些最新的資安標準除了產品的資安驗證,在企業產品生命週期管理也要與時俱進。因此,資安不僅是產品強固上的要求,更要同步提升至企業資安體質。

相較於資安以事前防禦技術為主,數位韌性強調事後應變復原能力。根據全球研究調查報告「解構企業資安應變力」(Decode resiliency: How boards can lead the cyber-resilient organization),韋萊韜悅與英國經濟學人(EIU)整理受訪企業優於平均的資安能力自評項目:評估與量化風險(23%)、資安技術與治理之整合(21%)、評估資安風險文化(19%)、緊急應變(19%)、將資安整合至持續營運(18%)、分配足夠預算(16%)、在風險接納與移轉取得平衡(16%)、培養職場的資安能力(15%)、填補資安人才短缺(14%),以及從資安事件中學到教訓(13%)。除科技應用,數位韌性在於強調人員與組織的整合能力。在勒索軟體即服務(RaaS)的商業模式之下,當今駭客進行「木馬屠城」的攻擊。產業宜認清駭客亦為商場敵人,才能以研發創新積極因應敵暗我明的攻擊。

>>訂閱名家評論周報,關心全球財經大小事

延伸閱讀