「我們的資安邊界太長太大,受到的攻擊相當猛烈」鴻海精密處長陳明勇在今年資安大會中坦言,鴻海全球約有100萬名員工,幅員廣大,資安邊際無遠弗屆,這正是鴻海面臨的資安現況。
鴻海集團底下共分為ABCDES共6大事業群,業務涵蓋手機、穿戴裝置、平板電腦、筆電、模具、電機、印表機、顯示器、電視、遊戲機、機器人、半導體等產品,事業版圖橫跨三大洲,在臺灣、中國、日本、印度、越南、馬來西亞、新加坡、捷克、匈牙利、斯洛伐克、美國、巴西、墨西哥等地設生產或服務據點。
曝露攻擊風險增加
陳明勇指出,鴻海集團在全球的網路相當於一個大內網,規模就像是另一個網際網路(Internet)一樣,網路複雜之外,全球布局加上指標性企業的身分,鴻海常成為駭客攻擊的標靶,也是國家級駭客攻擊的目標,經常面臨各種資安威脅,除了每天發生的社交工程攻擊,還有常遭遇到DDoS攻擊。
另外,近幾年激增的勒索軟體攻擊風險,以及來自上萬家供應鏈上下游的攻擊風險。例如今年6月,鴻海集團下負責生產液晶電視的墨西哥工廠遭到惡名昭彰的勒索軟體LockBit 2.0攻擊,導致該廠產能受影響,駭客揚言如果未取得贖金,將公布取得的內部資料,為了降低衝擊,鴻海除了調度產能因應之外,也特別與員工、客戶、供應鏈溝通說明。
為了因應企業的資安治理需求,鴻海集團內部設有資安治理委員會,主席由董事長擔任,成員包括各事業群最高主管、管理公司資訊及網路的最高主管,鴻海研究院最高主管等,其他如財務、人資、法務、稽核最高主管,則視專案需要列席。
在資安治理委員會下面分為兩個小組,一是資安治理工作小組, 負責資安策略和方針擬定,資安政策及相關程序制定,以及法規遵循的查核;二是資安維運小組,落實維運資安架構、設備,負責資安防護、風險評估等工具,以確保資安執行成效。在實際的執行方面,包括中央資訊單位,以及各事業群的資安單位,其中中央資訊單位負責資安部分,包括依照資安政策、法規遵循,落實ISMS管理,建置及維運資安偵測及防禦機制等。
為了鞏固跨國內網架構,鴻海採取了縱深防禦的防護策略,從因應外部的DDoS攻擊、DMZ,到內部的情資保護、NG-Firewall、IPS、NDR、EDR,到最基本的防毒。此外,鴻海也導入資安情資、透過AI辨識的監控系統,由威脅獵捕廠商提供資訊,來了解哪個國家級駭客的攻擊,同時,鴻海內部更設有SOC、Global SOC,以監控全球各據點的資安攻擊狀況。
然而,陳明勇認為,儘管鴻海已在縱深防禦的布局上相當完整,但任何防禦工事,最重要的還是人,人才是最重要的關鍵,企業願意投資採購設備、服務,但人的知識經驗最重要。「資安要做好,需要系統、人才、程序,搭配系統、適當完整的程序才行」。
徵求各種資安技術人員
陳明勇表示,鴻海採取資安縱深防禦策略,從DDoS、EDR到網路的NDR,更有滲透測試工具,因此,需要相關的操作,產出報表及分析的SOC、全球監控等相關的人才。公司近幾年推動轉型,除了虎躍雲,明年在深圳建置龍華雲,鴻海建置私有雲、推動數位轉型,資安人才也需要與時俱進,甚至走在前面作更完整的規畫,在服務上線時確保安全無虞。
陳明勇服務的中央資訊單位,位於鴻海總部土城,主要負責集團的架構規畫建置、管理優化,分析潛在的風險,弱點掃描、滲透測試、紅隊演練等工作。儘管徵求的資安技術人員需要10年以上的工作經驗,但,陳明勇強調,鴻海也願意培養年輕新血,提供完整的教育訓練。由於鴻海在全球設廠,新進員工有機會到國外各地,到美國、印度、越南歷練,資訊安全技術人員也可彈性上班,甚至可居家上班。
他補充說明,鴻海有各式各樣的設備及服務,需要各式各樣的資安相關人才,鴻海集團內部系統複雜,且布局全球,需要更多專業人才加入團隊,例如法令法規GDPR、數據安全法,以及最近的SEMI E187,鴻海為SEMI台灣半導體資安委員會成員之一,遵守NIST、SEMI等國際規範網路安全的要求,來部署系統或規範,也需要員工和各事業群遵循,需要稽核人員執行稽核工作,確保制度的落實,持續優化改善,歡迎資訊或資安背景,或是具有資安管理相關稽核經驗的人員加入團隊。
成立已48年的鴻海,在全球500大企業排名,從2005年的375名,去年排名為全球第22名,今年更進一步至20名。儘管已是將近50年的老公司,為趕上外在變化,鴻海內部推動數位轉型與時俱進,「轉型最重要的是資安,沒有資安,所有的數位轉型就會帶來極大的風險」,陳明勇說。舉例來說,為確保製造產業的穩定運作,基於防疫需要,目前鴻海仍實施分流上班,半數員工一周在公司上班,另一周居家上班,遠距工作型態增加攻擊的風險。
陳明勇表示,鴻海提供很好的員工福利,員工生育,0到6歲每胎每月補助1.5萬元,適合年輕的人才。鴻海現為臺灣第二大市值公司,龐大事業體和資安習習相關,對想從事資安工作的人而言,鴻海為很大規模的集團事業,雖然工作相當辛苦,但帶來的挑戰性及成長也相當顯著。
熱門新聞
2024-12-24
2024-08-14
2024-12-20
2024-12-22
2024-12-23
2024-12-23