半導體產業、資安專家 跨界對談供應鏈資安管理 提倡台灣產業安全供應鏈價值

近年來資安攻擊樣態改變,從第三方供應鏈來的資安攻擊事件急速成長,企業須提升自身與供應鏈之資安防護能量;同時國際上對於供應鏈資安要求越趨嚴格,美國NIST所發佈的資安框架(CSF)改版亦新增供應鏈風險管理,足以證明產業界對於供應鏈資安風險管理的重視程度。SECPAAS資安主題館於SEMICON Taiwan展覽期間,進行第二場資安小聚活動「供應鏈管理x資安出哪招」。於今日(9/24)上午的活動中,由工業技術研究院卓傳育博士主持、台積電張啟煌部經理(二者同為SEMI資安工作小組主席)Team T5蔡松廷執行長(亦為台灣駭客協會理事長),一同分享從高科技產業需求方、資安供給方等角度探討供應鏈資安管理議題。

Team T5蔡執行長提到供應商的類型可概分為服務類型與軟體供應商兩類,而台灣企業仰賴供應商,若供應商資安不設防時,便讓駭客有機可趁。例如、駭入供應商的軟體埋後門程式,當進行軟體服務自動更新時,便可能進入所服務之企業內部潛伏攻擊。而企業為強固供應鏈管理,可要求其供應商資安合規並投入資源進行資安強化(如紅隊演練),並觀察供應商如何應變資安事件與漏洞的態度來評估其資安風險管理的能力,但資安攻擊手法日新月異,企業需拉長戰線持續維持資安防護能量才能應變層出不窮的資安攻擊事件。另,隨著政府政策發展欲推動產業資安聯防機制,除了法規要求八大關鍵基礎設施需成立聯防體系,一般民間企業要執行上仍有其難度。因此,類似台積電這樣,由指標企業要求其供應鏈配合,應能創造成效。而面對未來可預測勒索軟體攻擊與APT攻擊仍會持續嚴重,並直言企業須先建置專責資安團隊,知道那裡的防禦有缺口即該採用何方案來佈建防堵,才是根本之道。

台積電張部經理在本次對談中,再度分享供應鏈聯防價值與觀念:「當你把自家的圍牆築的很高,但隔壁鄰居皆遭小偷,自己家裡住起來還是會害怕。」再次說明供應鏈資安管理的重要性,也建議企業可協助供應商透過第三方工具(從情資分析、弱掃評估、問券調查等)了解自身資安弱點,評估改善策略;其次,共享資安知識、共同提升企業資安防護意識也是極為重要環節。此外,台積電於20189月於SEMI國際半導體標準組織成立資安工作小組,即是透過產業資安標準的制定,希望強化供應鏈的資安要求。最後,在資安防護上,如何定義邊界是最重要的環節之一,如email安全、上網管制等基本的管理,公司能真正掌控邊界管理的要點,進一步建構組織內的資安防禦邊防。

圖 張啟煌部經理(左一)、蔡松廷執行長(左二)、卓傳育副組長(右一)分享供應鏈資安管理

Scroll to Top