資安應用服務聯盟會長洪偉淦表示,企業資安風險往往發生在進行數位轉型過程中,即便是利用區塊鏈技術,以分散式帳本進行認驗證功能,對剛成立的區塊鏈網路言,若節點不夠多,假使駭客快速展開51%攻擊,資料仍有被竄改風險。
換句話說,即便使用區塊鏈技術也仍需要資安保護。
資安即國安,「資安應用服務聯盟」3日宣佈成立,第一屆會長由趨勢科技台灣暨香港區總經理洪偉淦擔任,包括聯發科及華碩雲端等業者都加入,期望理解業界需求,提供適合的資安解決方案。
國內外資安事件層出不窮,最近讓人印象深刻的,莫過於台積電爆發晶圓廠遭勒索病毒Wannacry侵入,導致生產停擺。
區塊鏈也無法保證100%安全
資安應用服務聯盟會長洪偉淦表示,企業資安風險往往發生在進行數位轉型過程中,即便是利用區塊鏈技術,以分散式帳本進行認驗證功能,對剛成立的區塊鏈網路而言,若節點不夠多,假使駭客快速展開51%攻擊,資料仍有被竄改風險,換句話說,即便使用區塊鏈技術也仍需要資安保護。
談起區塊鏈,洪偉淦說,過去常見勒索病毒以密碼貨幣當贖金,因為這無法追蹤,交易便利,而密碼貨幣背後的技術就是區塊鏈,而密碼貨幣被竊消息也頻傳,這部分主要發生在密碼貨幣交易所,線上錢包被竊密碼,導致虛擬貨幣被整個竊走。
洪偉淦表示,區塊鏈是分散式認證系統,適合發展需要取得公信力的應用,但目前仍屬發展初期,應用仍待產業發想,然而,區塊鏈認驗證功能高,但被竄改效率低,其中認驗證功能確實是資安重要一環,但可以說,目前的區塊鏈技術仍無法保證100%安全。
5成企業遭受威脅,但2成沒評估資安風險
洪偉淦表示,2017年Honda曾中毒,30幾萬台電腦被勒索病毒加密,工廠停擺,今年3月波音航太公司也遭勒索病毒攻擊,另外全球最大貨櫃船公司馬士基(Maersk)去年也因為勒索病毒,損失3億美元,可以說勒索病毒隨時都在全球攻擊。
根據市調機構的預估,超過53%企業曾遭受資安威脅,45%的企業並沒有真正的OT(專用資訊設備)資安負責人,只有37%的企業在持續偵測可疑行為,而20%企業從未做過資安風險評估。
製造業尤其面臨智慧工廠及自動化升級壓力,一旦機器設備裝上感測器收集資料聯網回傳,工廠端被攻擊的介面就被打開,提高了對資安風險的暴露度。
洪偉淦說,過去企業工廠部分沒有聯網,只在內部串連,就不用管防毒,這些專用機目標就是生產效率,KPI緊扣產能目標,將防毒軟體視為包袱,因為有時機器設備加上防毒系統就會拖慢速度。
工廠看資安,從百無一用到具有意義
但隨國際大廠也遭受勒索病毒侵襲,工廠停擺,企業已經發現提高資安防護是「不得不為」而必要的妥協。
洪偉淦表示,安全性或多或少拖慢一點效率,但就如同是開車中的煞車,不做不行,所幸近年國際大廠資安事件,讓企業終於體認安全重要性,也讓原本被視為「百無一用」的資安現在反而具有採用意義。
然而資安議題仍在企業中面臨文化衝突,其中最常見是IT(資通訊)與OT(營運科技)之間,而資安應用服務聯盟就是希望,替客戶做風險評估後找出「哪些地方出事風險最高」及「那些地方最脆弱」兩者之間的交叉點,並以優先順序,先找出哪些地方風險最高又最脆弱處下手改善。
資安法今年三讀,資安聯盟上路
為加速民間廠商投入資安產業,行政院DIGI+小組民間諮詢委員會(簡稱DIGI+小組民委會)委託台北市電腦公會舉辦「資安應用服務聯盟成立大會暨智慧聯網時代建構製造業資安防禦力研討會」,並在會中宣布成立「資安應用服務聯盟」,宣示聯手推動資安產業應用,今年將以製造(紡織及機械)、醫療、物流業作為第一波推動主要產業。
資安應用服務聯盟由DIGI+小組民間諮詢委員會委員,同時也是趨勢科技台灣暨香港區總經理洪偉淦擔任第一任會長。政府推動國防資安方案,加速資安產業發展,除推動「資安管理法」,行政院也扶植資安產業協助強化台灣各產業資安整備,期盼成為全球資安產業創業基地。
資安應用服務聯盟包含中華資安國際、華碩雲端、精誠資訊、聯發科、電信技術中心、旅館商業同業公會全國聯合會、台灣國際物流暨供應鏈協會、無店面零售商業同業公會、絲織工業同業公會、織襪工業同業公會、台灣機械工業同業公會、智動化產業推動聯盟、醫療健康照護促進會、台灣醫院協會、中華整廠發展協會、全國工業總會、身品條碼促進會、台灣智慧自動化與機器人協會、台灣食品產業發展協會、資策會、工研院、資訊安全學會等。
