針對NIST CSF管理框架的描述,韋萊韜悅臺灣分公司企業風險與保險經紀資深協理吳明璋自己形容更貼切:「CSF框架就好比是中醫,從望聞問切做起,找出病患更深層病根再加以治本,相較之下,ISO 27001標準則比較像西藥,以目標導向的模式,針對症狀改善。」

過去一年來,臺灣在內等全球勒索軟體攻擊事件頻傳,特別是鎖定高科技製造業為主的勒索軟體攻擊,這也帶來了新的資安挑戰。在資安威脅持續升高的局勢下,高科技公司內部資安控管該如何做才夠安全,能夠抵抗這類難纏病毒攻擊的威脅,這也成了許多公司資安長或CIO的當務之急,列為優先想要解決的問題。

如果從風險管理角度來看,韋萊韜悅臺灣分公司企業風險與保險經紀資深協理吳明璋就表示,面對駭客威脅無所不再,企業除了持續提高資安防護與應變反應能力之外,在資安標準採用上也須與時俱進,除了大家熟知的ISO 27001,他認為企業更可從導入當紅的CSF網路安全框架(Cybersecurity Framework)開始做起,逐步建立並強化自身的數位韌性體質,來因應後疫資安新常態。

CSF框架是什麼?它其實是由美國國家標準技術研究所(NIST)幾年前所提出的一個網路安全框架,最早是在美國聯邦政府各部門實施,但因為主打容易上手,且又不像ISO 27001標準,得經過第三方驗證,企業單靠自己就能執行CSF框架,因此不只美國政府,就連企業也大力採用,將它做為資安風險管理標準與指引的參考,而且不只美國,連歐亞各國都有政府機關或大型企業先後引進,甚至連中小企業都能用。

目前導入NIST CSF的大型企業也不少,代表性的企業包括有英特爾、波音公司、微軟、AWS,以及HP等。

隨著NIST CSF在國外越來越火紅,如今這股風潮也開始吹到臺灣。像是國內封測大廠日月光投控,就藉由導入NIST CSF作為資安成熟度評估機制,來推動公司全面的網路安全規畫,並持續改善精進。不只封測大廠,近來也有國內面板廠有意導入,通過該框架,來評估其供應鏈好壞,而且不只半導體業,從企業官網或年報上揭露來看,也有一些企業目前正在推動,或是開始規畫,未來有意導入,包括了華碩、中華電信、台達化學工業,涵蓋電腦製造業、電信業、化工產業等。

從整個框架來看,CSF框架涵蓋了資安的五大面向,包括識別、保護、偵測、回應與復原,企業可以通過該框架,來建立資安風險管理的生命周期,並透過對於關鍵服務的衝擊影響,採用不同風險處置的方式,如減損、移轉、規避與接受等,同時根據風險容忍度,作為資源投入優先順序的參考。

針對NIST CSF框架的描述,吳明璋自己形容更貼切:「CSF框架就好比是中醫,從望聞問切做起,找出病患更深層病根再加以治本,相較之下,ISO 27001標準則比較像西藥,以目標導向的模式,針對症狀改善。」

他認為,CSF框架對臺灣企業將帶來衝擊和新機會,一來是開始有國外企業強調CSF管理框架重要性,甚至把它變成合約條款,要求合作供應商配合,否則之後可能就拿不到訂單。二來,在全球朝向可信賴的供應鏈的發展趨勢下,未來對資安的要求會不斷增加,因此,這樣一個新資安框架的採用,也變得越來越重要,甚至有些超前部署的領先企業,還將它當作競爭力的展現,能夠讓自家產品或公司更具國際競爭力。

從資安產業角度來看,吳明璋自己也相當看好NIST CSF將帶來新的機會,除了讓資安業者能將自己資安產品或解決方案,與CSF框架做對照,方便企業來選用,從整體臺灣資安產業發展,他也認為,通過CSF框架將有機會能夠串連整個資安產業服務鏈,他也說,現在產業正慢慢往這個趨勢靠攏,舉例來說,紅隊演練使用的MITRE 的ATT&CK資安攻防框架,就開始對應到CSF管理框架等。

CSF框架的出現,甚至也影響到後來其他產業資安標準的建立,像是由台積電在2018年主推的半導體資安標準草案SEMI Doc 6506 ,就有納入CSF框架的精神,可以對應到其定義的保護和檢測兩大資安面向,例如傳統老舊機臺汰換或定期更新就是屬於保護面向。日誌記錄的管理與追蹤則是檢測面向。除了參考CSF框架,Doc 6506本身還參考其它新的國際資安標準,如工控資安管理標準IEC 62443   CIS Controls框架等。

他也補充提到,目前該草案新進展,在歷經兩年多,來回提交修改,累計回覆多達上百個問題後,最新修正版本於5月中已經向國際SEMI協會提交,預計6月投票,他說,未來如果這個版本通過,成為正式標準後,企業就可依新標準在採購合約上納入資安要求。

儘管,NIST CSF框架有諸多好處,但企業實施遭遇到的阻力也不少。吳明璋根據實務經驗提出新標準實施的3個挑戰,首先是以取得證書為目的。他表示,目前國內業者心態,還是為證書導入居多,這也影響到企業對於CSF框架導入的意願,因為,CSF框架雖然可以透過第三方報告或稽核,但目前並沒有國際認證組織核發的證書,因此,倘若在法規沒強制、客戶沒有要求,亦無管理需求等急迫情況下,企業推動的步伐緩慢,或是就算實施,也不是全面推行,只有在少數部門實施,如IT或資安部門等。

IT重硬體不重軟體則是第二個挑戰。他表示,CSF框架或新的資安標準,不只硬體,也開始強調軟體開發流程需要納入資安考量,但對於長期IT委外的企業來說,也是一大挑戰。甚至一些關鍵性設備,都掌握在其他設備廠商手上,一旦發生資安問題,廠商未釋出更新之前,只能被動等待更新。這是第三個挑戰。除此之外,CSF框架實務執行上,也容易造成執行單位和稽核方的困擾,例如由於CSF框架本身不具強制性,企業可以從框架108項中擷取當中重點式的作法,再來調整,但這也會影響到稽核評量的方式,甚至即使是同一家公司不同單位或部門,對於框架的適用情況亦有所不同。

另從資安成熟度評量工具來看,他也觀察到,新的NIST v1.1版本中改以分級(Tier)的方式,作為企業資安成熟度的評估機制,不再使用成熟度模型評分標準。不過,目前業界普遍將它視為一種資安成熟度評估工具。

他也提到,國外企業目前導入CSF框架的觀念是,第一年是企業內部自己先導入,往後二、三年才逐漸擴大到上下游供應鏈,他說,這是一個長期發展的過程,而非是短期內為取得證書而做。

對於臺灣該如何推動CSF框架?他也點出一大關鍵在於中文化,他指出,不像ISO 27001有自己的中文版本,NIST CSF框架的內容至今還沒有中文版,僅有英文版,因此較不易企業使用,「這是CSF框架要能夠在臺灣真正落地的關鍵。」他說。另外,他也建議,除了企業採用以外,政府在資安成熟度的評估機制上,未來亦可將NIST CSF框架納入,作為未來評估資安成熟度的新作法。


熱門新聞

Advertisement