過去十年,臺灣資安業界發生的事情很多,TeamT5杜浦數位安全創辦人兼執行長蔡松廷表示,最重要的關鍵有兩件事情。
首先,就是蔡英文總統於2016年就任以來,率先制定「資安即國安」的政府資安核心戰略方針。
臺灣面對嚴峻的資安環境,各種網路攻擊沒有減少、網路環境更沒有變得更安全,甚至因為臺灣是中國網軍長期鎖定攻擊的對象,這也讓臺灣整體的網路環境所面臨到的資安威脅,比起其他國家更為嚴重。
他說,這個「資安即國安」戰略帶出來的結果,是政府資源的投入,以及各界的重視,像是經濟部工業局到數發部資安署及數位產業署成立等,投入資安能量變大,讓做產業的能量也變大;另外,這個戰略同時影響臺灣產業對資安的態度,包括民間企業、CI(關鍵基礎設施)對資安的重視大於以往,產業的需求也對資安產業帶來直接影響。
蔡松廷也不諱言,「資安即國安」已經是臺灣推動資安發展的重要里程碑,因為臺灣遭受中國強大網路攻擊,最早可以追溯到二十多年前,只不過,當時不論政府、企業甚至是資安產業等,對中國網軍攻擊的反應都很有限;而真正開始有資安資源的投入,嚴格來說,是近十年、近八年的事情,尤其是「資安即國安」資安戰略政策推出後,「有人推著走,進展會比較快。」他說。
其次,就是各種法規對資安的要求,都會是滋養臺灣資安產業環境的土壤,也是推動臺灣產業資安的基礎,從資通安全管理法到相關細則的實施,以及金管會對於上市櫃公司各種資安要求都包含在內。「內在資安戰略政策,驅動外在產業資安的需求。」他說。
在網路威脅多元化,迫使企業必須正視資安風險議題,加上政府支持以及政策作多的鼓勵下,過去十年來,也有不少臺灣資安新創公司在這片土地扎根、茁壯,以威脅情資研究分析立足臺灣、揚名世界的TeamT5(杜浦數位安全)也是其中一家資安新創業者。
蔡松廷坦言,在臺灣做資安新創是一條辛苦的路,在資安短缺、人才不足、臺灣市場規模太小、海外市場拓展困難,以及缺乏導師引領的種種挑戰中,他希望所創立的公司可以用臺灣自己的資金和人才,創造出可以被複製的資安新創成功模式。
攝影/洪政偉
臺灣資安市場規模太小,不利資安新創公司發展
臺灣四面環海、是一個小島,蔡松廷認為,臺灣資安產業還沒有真正蓬勃發展的原因,跟市場的規模不夠大,有著直接關係。
這些年來,雖然比以前增加很多資源、也多了很多資安預算及重視,但整體而言,對於拓展產業規模的效果還是有限的。畢竟,很多人重視資安,但仍局限在某些特定的產業別,他認為,嚴格來說,真正重視資安的還是少數,還沒有做到普遍重視資安。
也因為臺灣資安市場規模不夠大,假設資安業者推出很成功的資安產品,但臺灣市場的回報相對有限,如果是在市場規模比較大的國家,例如美國甚至中國等,情況就不一樣了,「你同樣做一件成功的事情,但美國市場可以獲得的投資報酬率高,比起臺灣是十數倍的回收效果。」他說,這些市場的回報,就是能否繼續支持這家資安業者繼續發展的重要原因。
臺灣以往最成功的例子就是趨勢科技,蔡松廷表示,趨勢科技因為很早就鎖定到日本市場發展,這是一個願意為軟體付費的國家,多年下來,趨勢科技在日本市場也有很深的耕耘。
現在雖然有資安服務型業者,例如中華資安公司和安碁資訊等,都預計或已經在臺灣上市櫃的計畫,也希望藉此爭取市場上更多的資源,但蔡松廷認為,事實上,以臺灣目前的市場規模,想要再孕育出另外一家跟趨勢科技規模一樣大的資安公司,難度是非常高的。
畢竟,他坦言,對臺灣資安業者而言,產業規模如果要做大,一定得進入其他海外市場;當然,如果是進入美國市場,不論從募資到上市,早就有一套完善的流程可以參考和複製,只是臺灣目前還做不到。
臺灣資安新創公司還沒有出現可被複製的成功模式
「當初想要創業的初心其實很簡單,就是覺得資安好玩、對於可以把有熱情的興趣專長,轉換成可以賺錢、可以賴以維生的工作有興趣。」蔡松廷表示,原本只是玩資安技術,但後來越來越投入,資安就變成事業了。
當興趣變成事業之後,很多事情和想法就有所轉變,他認為,創業和玩技術不一樣,創業要能夠成功,技術只是其中的一環,必須還有很多其他不同因素交互作用。
關於自家公司技術、威脅研究、技術開發等層面的水準,蔡松廷都有足夠的信心,不論對於亞太地區的威脅了解、追蹤技術的方法和經驗,或者是資安事件處理經驗和能力,以及如何對抗APT攻擊者等,在他們與很多國外業者的交流過程中,已經得到印證。而這也是蔡松廷最自豪的部分,擁有世界一流的研究和技術,是支持蔡松廷繼續走下去的動力。
他認為,臺灣資安新創的未來還是要走出臺灣才行,不然在臺灣可以獲得的資源實在很有限,除非像TXOne(睿控網安)從母公司趨勢科技及創投拿到足夠的資源,第一時間就衝向國際市場,然而,像是趨勢科技或是TXOne的創業過程,其實都難以被複製。
的確!在這個時代,臺灣資安廠商的發展,還沒有一個成功模式可以參考複製,大家都還在努力摸索,試圖找出從臺灣出發的資安創業成功模式,現在檯面上資安新創公司各擅勝場,創業很好玩但也很辛苦,但他最煩惱的事情是,沒有人可以指導、分享經驗,告訴他接下來資安創業該怎麼走才是對的路。
他進一步解釋,像是以色列的公司,只要做對一個技術或產品後,這家新創公司的未來發展,從募資、擴張、IPO、與美國市場直接連動、產品行銷等,各種人才都齊備,更有很多的成功模式和典範,提供新創業者獲得相關資源並學習,這樣就可以讓新創業者少走很多冤枉路。
他認為,臺灣資安公司成功模式還沒有建立,目前看起來很成功的一兩家公司,也不是所有人可以模仿複製的,還需要一點時間去塑造。
可以幫客戶解決問題的技術才有價值
從創業多年的經驗來看,蔡松廷認為臺灣有很多技術高手,卻極度缺乏「怎麼轉變知識和技術變成有價值的東西」的人,背後彰顯的問題就是,許多做技術的人,並不是真正知道「這個技術要解決什麼問題」。他說:「懂得怎麼解決甚麼樣的問題,技術才會有價值。」
因為現在的產業環境,有太多製造問題的人,但最終要知道怎麼解決問題,才可以彰顯技術帶來的價值,這也是現在許多資安人缺乏的能力。「資安人必須要轉換思考層面,從了解技術怎麼帶給客戶價值、可以替客戶解決問題的技術才有價值。」他說。
舉例而言,資安人員要懂得勒索軟體、加密入侵技術、比特幣……等,如果可以找出客戶願意付錢、請你用懂得的技術,幫忙企業解決防勒索軟體的問題,這就是技術的價值,更是一個好的創業題目。
當然,要發揮技術的價值,不只需要具備足夠的知識,也要花時間了解客戶,但是,客戶是政府部門或民間企業,各自面對的問題並不一樣。只有鎖定正確的客戶標的、能夠深入淺出了解需求後,才能根據對資安的了解,選擇適合客戶的技術,設計的產品客戶才願意買單。
只不過,蔡松廷也發現,臺灣很多資安人才在解決客戶的問題上,落後外商很多,這也是很多臺灣客戶為什麼喜歡買外商產品的原因。很多人都在問,臺灣資安業者怎麼跟外商競爭?
他說,「只要可以讓客戶覺得,臺灣的產品『比較適合』客戶使用,就會願意下單。」所謂的適合,除了預算,還包括服務、適合臺灣環境、解決客戶問題、可偵測中國網軍APT攻擊、客戶信任等因素,但仍是漫漫長路。
「資安要創業,就得要有團隊,因為很多駭客習慣自行鑽研技術、不擅長團隊合作。」他認為,關鍵在於,組織團隊的人必須知道怎麼用人,每個人要了解自己的角色定位,也有團隊概念、並且能夠彼此合作,因為個人的成功不等於事業的成功,團隊其實是不可或缺的,要做到一加一大於二。
蔡松廷說:「我們公司靠團隊成功經營越南市場,執行長一次都沒去過越南,這是我們的驕傲,培養好的團隊之後,也讓我有時間思考未來策略規畫和經營方向。」
攝影/洪政偉
只要有資安創業成功的模式,就一定會有號召力
臺灣資安產業發展首要面對的挑戰,是國際拓展問題,例如臺灣市場先天規模小,經營海外市場可能缺乏競爭力,出國推廣業務就是需要資金和人才,因為臺灣資安新創還沒有成功模式,對很多創投業者而言,估值很差。
蔡松廷最感到困擾的就是「沒有導師可以問」,財務面有投資人可以問,但市場怎麼拓展、布局、切入,他目前只能和其他同為資安創業的同業人士,交流彼此對市場的經驗與想法。
他不諱言,很多創投業者鼓勵他直接進入美國市場創業,因為有太多成功經驗,有太多人可以帶著你走到成功階段,「當然!(貿然)去美國,死得也很快。」他笑著表示。
臺灣產業發展失衡,也造成人才失衡,蔡松廷表示,有許多頂尖人才都在竹科,許多資安高手也都被台積電、聯發科等大企業挖走,加上人才外流嚴重,很多人都在美國、高科技製造業、外商工作,最後才會到臺灣本土業者;另外,少子化不只影響資安產業,各大產業都受到類似衝擊。
蔡松廷表示,他甚至曾經對一個剛畢業的資工系碩士生,開出前所未有的高薪,最後那名碩士生還是選擇到高科技公司任職。
他說,不論產業或是人才失衡的問題,都很難解決,但這就是臺灣產業發展、人才流動的現實,必須接受。
「創業成功要有足夠人才,以維持競爭力,」蔡松廷評估該公司的SWOT分析,技術人才還算有競爭力,但其他像是做資安產品規畫、資安行銷、資安銷售業務等,都經常都找不到合適的人,像是資安行銷、產品規畫人才,必須自己培養,要找到有能力做海外資安市場的業務人員更難。
綜合而言,他認為資安新創公司要生存下去,遇到的最大難題就是「推到海外、成功落地、持續成長」,海外市場一定要有當地團隊經營市場,但是,經營海外市場不一定要馬上成立海外辦公室,一定要有當地的代理商才行。
韌性決勝!在有限的時間內,將每個環節做好
面對國際情勢詭譎多變,加上資安威脅手法更難以偵測,臺灣未來應該如何「做好資安」呢?
蔡松廷表示,答案是維持「韌性」,因為資安戰線太長,怎麼把韌性落實在每一個資安環節是大考驗,關鍵點就是:持續在「每一個防守環節做好每一件事情」,這是沒有止盡還得持續進化的旅程,須跟著駭客攻擊手法應變,時刻掌握新漏洞影響的系統環節。
「如何短時間內做好應變,就是一種韌性。」他說,可以參考美國NIST推出的CSF(網路安全框架),從事前、事中、事後不同階段,知道做哪些事情能夠增加韌性;有框架和方法之後,就是要投入資源、培養人才,真正了解如何做好資安,以及如何落實資安的治理。【本文採訪日期為2024年4月】
熱門新聞
2024-06-21
2024-06-24
2024-06-24
2024-06-21
