這些年來,不僅是智慧製造的資安問題受關注,供應鏈資安的議題同樣浮上檯面,有些企業可能早已採取行動,因應未來的挑戰,也有些企業的資安管理者可能還在摸索階段,缺乏具體行動,在今年臺灣資安大會的智慧製造資安導入實戰論壇中,身為全球主要繪圖顯示卡供應商的臺灣知名業者撼訊科技,該公司資訊部經理楊仕全談到2019年中美貿易戰後,面對國際大廠嚴格資安稽核過後的可行因應策略,特別是製造業可能存在資源不足的情形,該如何解決並強化產線資安防線。
可以將客戶稽核視為轉型升級機會,但也要思考資安不能站在業務對立面
事實上,政府為了幫助臺灣製造業,可以在強化資安時有目標與方向,在2020年9月,由工研院資安服務整合平臺SecPaaS,推出了一項「資安成熟度評級服務」,根據楊仕全的說明,撼訊科技就是這個資安成熟度評級服務的受益者,在面對國際大廠資安的要求與稽核之後,至少有了一個因應的開始。
楊仕全表示,這要從2019年的中美貿易戰說起,當時,國際大廠原位於大陸生產繪圖顯示卡的生產線,無法繼續供應產品給美國市場,因此國內很多業者都經歷轉單,以及短時間將產線及供應鏈移回臺灣重新開始的情形。
這時,也面臨了國際大廠的供應鏈管理要求,撼訊也同樣面對來自供應商資安風險管控稽核。在稽核過後,楊仕全很坦然地說,當稽核報告一出來時,心裡都有數,做得不夠好是很現實的問題。
他以過來人的經驗提醒,稽核報告出來後,真正要改變的是組織與相關同仁的習慣及文化,有時這些改變,其實是很違反人性的。因此,如果不謹慎以對,反彈的力道往往會超乎想像。
面對稽核,儘管自己已經獲得企業高層支持要改善強化,剛開始也能夠獲得資源投入,但實際做下去,大家往往會發現,在既有人力、預算、生產環境下,還是會遇到資源不足的挑戰。楊仕全表示,這時不能有擺爛的想法,因為日後可能會更辛苦,相對也要注意的是,不要一味追求零風險的資安,因為讓公司能順利出貨才是最高原則。另外,還要注意,不要存有「誰支持你就要給你權力」的錯覺。
這也讓我們想到一句話,業務與資安的關係不純然只是對立,也需要互補,要做好資安,合作更重要。
他更是語重心長地說,大家需要知道自己所面對的是什麼,要體認到自己面臨的困境與挑戰,其實很可能是公司過去成功經驗的累積,他希望大家多去思考這些問題。
填好成熟度問卷很重要,為了提升供應商配合度,要培養交情與信任
面對國際大廠稽核,不外乎CMMC、NIST等規範,找廠商協助改善雖然可以,但前提是要有足夠的資安預算。楊仕全表示,在沒有其他解決方案之下,善用國家提供的資源,是他們目前能夠接受的作法。
但這個「資安成熟度評級服務」有用嗎?楊仕全建議,只要申請服務、登入帳號,接下來就只要耐心的填寫問卷,誠實的面對自己,拿出自己最真實的一面,就可獲得一個評分等級結果。
他笑著說,大家不要覺得評級結果不好就過於悲傷,因為這個自評的主要目的,就是告訴你哪裡沒有做好,瞭解自身的OT管理、防禦、偵測與反應能力。
上述評級問卷,對他們來說相當好用,因為,「坦承面對自己就是最好的進步方式」。而且,這些問卷的內容,其實是會根據國際法規變動而調整。
不僅如此,除了強化企業自身的資安能力,我們知道,現在更強調的是,要將供應商及第三方合作夥伴納入資安風險管理計畫之中。在這場演說中,楊仕全也特別說明與供應商合作的經驗。
「現在談供應鏈安全,除了我自己做資安成熟度評級問卷,還要告訴我的供應鏈夥伴要不要做問卷,但這其實是非常難的一件事。」楊仕全說。
但他還是花了很多心思,用盡各種辦法,不斷動之以情,像是拜託採購、業務與MIS等人員,透過各種管道,讓對方負責人員也一起填寫問卷。。他笑著說,平時就要累積功德、建立良好關係,否則然要求對方做,是不會有人理你的,而且,還會面臨到對方亂填的可能。
之後要如何看待評級結果?如果對方分數很高,可以向對方請教對方是如何做;若是對方分數很低,評級結果中其實也提供了改善建議,供應商是可依防護指引進行改善的。
只要能夠找出最小可行性,就能突破合作對象的心防
當然,善用政府資源利用評級服務,知道彼此安全等級後,只是第一步,後續,楊仕全還提到三個面向,包括:他們還要進一步與供應商建立安全方面合作,懂得藉助國際認證標準之力溝通,以及建立供應鏈資安管理稽核機制。
「跨部門合作就很難,跨公司合作更不容易,要對方願意買單肯花錢更難。」不過,楊仕全指出,只要在彼此之間找出最小可行性的共識,就有機會往前推進一步。例如,他了解雙方本來就有資料傳輸的需求,因此建立安全存取流程的機制,讓對方來用,並不用花太多的錢。基於這樣的例子,他建議大家,可以找找彼此的最小可行性是什麼,用以突破對方的心防。
另一方面,現在製造業大家都要瞭解IEC 62443工業控制安全標準,對於供應商管理、人員管理的要求,這時可以透過有憑有據及圖像化方式,讓標準更易理解,如此一來,可透過良好的OT工程管理指南與對方溝通。
到了最終,就是要建立供應鏈資安管理系統機制,以及供應鏈資安風險稽核機制。
以前者而言,就是先用SecPaaS製造業資安成熟度評級來檢視現況,接著依據缺口與供應商進行評估改善,再來就是建議供應商,可以依據防護指引進行改善。最終,他希望能達到最理想的階段,就是透過資安責任共同承擔模型(SSRM)來進行供應鏈資安管理,讓管理方式更升級,但這需要等到公司規模大到一定程度,再來進行與要求。
而以後者而言,簡單來說,就是透過SecPaaS企業評級定義供應商風險層級,接著評估供應商安全控制有效性,再來是處理風險問題、理解並解決新興威脅,最終向管理層報告。
特別的是,對於SSRM的議題他也特別強調一件事,若換個角度來看,如果自家公司遇到上游供應商對自己要求時,法務或自己也需要幫業務注意是否會簽訂這樣的相關合約,確認所銷售的東西是否足夠安全,公司本身能否提升,若無法提升,真的會影響到之後的賠償,最好勇敢告訴對方自己做不到。
最後楊仕全建議,循序漸進是最好的方式,推動供應鏈安全時,可以從不同程度去進行要求,但避免一次要求太過頭,重點面向可以分為,盤點、識別、調整配置、隔離、保護端點,以及既有資安管理制度整合、事件收集與風險分析,還有存取控制考量風險。
撼訊科技資訊部經理楊仕全談到建立供應鏈資安管理系統機制的方式,可以先請供應商於SecPaaS平臺做企業資安評級檢視現況,進而做到改善,再發展至資安責任共同承擔模型(SSRM)來進行供應鏈資安管理。
同時形成供應鏈風險稽核機制,透過SecPaaS平臺檢驗供應商,到發現問題並處理,最終提報主管。
熱門新聞
2024-04-24
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
