【臺灣資安大會直擊】荷蘭網路威脅態勢與防護經驗大公開，荷蘭資安三角洲專家強調資安韌性需擴及各產業供應鏈

全球各國都在重視資安的推動，歐洲的發展也是全球關注的焦點，2024臺灣資安大會也持續推動國際交流，邀請荷蘭資安三角洲Security Delta（HSD）的專家親自到場發表主題演說，闡述荷蘭所面對的威脅態勢，以及採取的網路安全策略與行動。

關於荷蘭，以地理位置而言，大家可能知道荷蘭的阿姆斯特丹是歐洲最繁忙的機場，並有著歐洲第一大港鹿特丹，若是在高科技產業的層面上，大家可能想到臺灣有台積電，荷蘭有艾司摩爾（ASML），但在資安威脅態勢上，荷蘭是否面對與我們相類似的問題，大家或許不曾想過。

在本次大會主題演說上，荷蘭資安三角洲（HSD）基金會總監Joris den Bruinen特別以荷蘭為例，說明隨著資安威脅持續轉變，改變遊戲規則的Game changers正衝擊著我們，不同規模大小企業、政府與民眾都要有所體認。

對於荷蘭而言，近年遭遇哪些重大網路威脅？Joris舉出5起影響甚鉅的資安事件。

首先，在2017年鹿特丹港口曾發生三分之一停止運作的情形，原因是俄羅斯駭客針對烏克蘭發動大規模網路攻擊，連帶航運巨擘馬士基旗下碼頭營運商APM Terminals也受NotPetya攻擊影響所導致。這起事件衝擊了我們的實體世界，造成龐大的損失。

荷蘭高科技業ASML也經常受到攻擊，有一段時間更是同時遭遇網路攻擊與內部員工竊密的威脅。這類攻擊導致了智慧財產權被竊取的問題。

不只是大型跨國公司有資安危機，荷蘭當地知名的製造業VDL集團，3年前也遭遇勒索軟體攻擊，特別的是，這是一個家族企業，也成為網路攻擊的目標。

荷蘭物流公司Bakker Logistiek也曾遭遇勒索軟體攻擊，但這起資安事件還嚴重影響民眾，因為，當時超市販售的乳酪竟因此事件而缺貨。

Log4j漏洞的資安危機也是一例，全球都受影響。這個開源元件存在於許多軟體之中，就像食品中的糖一樣，到處都有，我們甚至不知道它在哪裡，這對許多企業組織來說，就是一場嚴重的網路危機。

網路威脅日益複雜，荷蘭政府重視公私協力，也要幫助中小企業

上述這些就是荷蘭所面對的威脅現況，若是更進一步來看，關於整體歐洲的資安威脅態勢，Joris den Bruinen引用歐盟網路安全局（ENISA）公布的2020年的15大網路威脅，說明現在態勢已是更複雜的威脅組合。

例如，惡意程式、勒索軟體等這些威脅，經常從網路釣魚開始，這樣的威脅結合已成為荷蘭的首要威脅，還有假冒執行長的商業電子郵件詐騙，為荷蘭國家經濟帶來嚴重損失。

未來我們還將面臨新的威脅，近年就有一些預料之外的重要變化，例如，因地緣政治國家相關攻擊的風險持續攀升，網路犯罪即服務商業模式讓勒索軟體攻擊事件大增，新技術也會帶來更多新興風險，像是IT/OT漏洞的持續成長，以及生成式AI被用於惡意軟體創造與網路釣魚手法改進。

Joris den Bruinen表示，根據ENISA公布的「2030年10大新興網路安全威脅」，我們可以看出一些端倪。從軟體相依性的供應鏈攻擊、運用新興技術散播不實資訊，數位監控威權主義崛起，一直到技術短缺、AI濫用等，都是重要議題。

因此，這些年來，不論荷蘭或是歐盟，都在持續設法積極應對資安風險。

荷蘭本身如何應對這些威脅？Joris表示，他們在2012年制定了第一個戰略，建立國家級的荷蘭網路安全中心（NCSC），專注於荷蘭政府部門與關鍵基礎設施的保護，共涵蓋350多個組織。

然而，只保護350個組織是不夠的，特別是考慮到資安威脅在不同層面的擴散，因此，2018年政府開始意識到要幫助中小企業，於是成立數位信任中心（Digital Trust Center，DTC）。而且，預計2026年，NCSC與DTC將進一步整合。

從整體歐洲層面來看，還有ENISA歐盟網路安全局這樣的組織，推動成員國提升整體網路安全水準。

至於這些機構的重要行動上，聚焦在公共政策、公私合作夥伴關係，宣導活動，以及責任悖論。

他強調，建立公私合作夥伴關係是一大重點，如資安資訊分享與分析中心（ISAC），讓大家更好提前應對嚴重威脅，一旦事件發生，NCSC也會告知公眾並幫助受害企業。而在資安意識提升活動舉辦上，每年會有不同重點，像是針對老人、年輕人、中小企業等不同族群，還有歐洲網路安全月、網路安全周等活動等宣傳活動。

關於責任悖論，他指出，若個人和組織都認為網路安全是另一個人的責任，又如果是每個人都負責，最後可能沒有人會負責，因此政府的因應就是需要透過立法來界定與規範。

近年就有幾個重要的法案，例如：在網路安全策略上，2022年底發布的歐洲第二版資安指令NIS 2，將在今年10月18日成為強制性指令，使保護的對象從關鍵CI擴大至重要中大型產業；針對金融資安領域，2022年底還有通過數位營運韌性法案（DORA），預計將在2025年1月17日前生效；針對產品安全領域，還有已在最後通過發布階段的網路韌性法（Cyber Resilience Act，CRA）。

荷蘭HSD建構產官學研聚落，以加速發展網路安全解決方案為目標

另一方面，Joris談到了自身組織荷蘭HSD，強調公私合作夥伴關係、生態系統的建立，也是整體資安推動的重要一環。

事實上，關於荷蘭HSD，可能有些人更有印象是海牙資安三角洲（The Hague Security Delta，HSD），在Joris的介紹下，我們才發現，這個2013年7月成立的非營利組織HSD基金會，現已更名為Security Delta（HSD），H代表荷蘭，原本Hague（海牙）一字已經去除。

Joris表示，HSD是荷蘭重要的資安產業聚落，有超過300個官方與民間組織加入其中，是一個集結產官學研的公私協力平臺，也是一個創新基地，專注於城市、國家與關鍵基礎設施保護等重要議題。

特別的是，在HSD的成員中，不只是有荷蘭政府單位，還有大型企業、中小企業、國際組織、研究單位、教育界的夥伴，國際合作同樣重要，因此成員中不僅包含大型國際資安業者，並且也有來自臺灣的夥伴。

例如，為了打入歐洲市場，在荷蘭設有辦公室的幾家臺灣業者，包括：身份認證業者來毅數位科技（Lydec&Keypasco），網路安全硬體設備製造商立端科技（Lanner），還有工業技術研究院（ITRI）亦在當地設有辦事處。事實上，近幾年來臺灣與荷蘭相互之間，已有多次的國際資安交流活動。

Joris強調，資安領域的公私協力、國際交流都很重要，HSD持續聚焦於緊密的產學合作，以促成活躍的資安生態系，而他們的重要任務，就是加速HSD成員間的合作，並在知識、創新、市場、資金、人才層面為其創造價值。

關於HSD在創新上的發展經過，Joris提到HSD近年特別重視3大主題，包括：網路安全與韌性、資料與AI，以及智慧安全社會，因此，HSD本身也建立了一套資安創新方法，透過4步驟來創造更多合作契機。

例如，從一開始的探索階段，研究思考問題是什麼？是否已有解決方案？是否需要創新或新知識？

接著是成立聯盟階段，以找出相互可以合作夥伴與方式，再到營運聯盟階段，共同開發和測試創新解決方案，以及最後的收穫階段，展示全新解決方案，並盡可能在國內和國際上推廣。

整體而言，有了公私夥伴關係這樣的平臺，如何促進合作、加速合作就是重點，尤其是供應鏈的合作。

為了讓大家更好理解，Joris以荷蘭重要的農業發展為例。他表示，隨著多年來的轉變，傳統用馬耕地到現在成為非常創新領域，而背後是一個完整的供應鏈，從種子、肥料與溫室場域，到種植者、市場、物流到最終消費的零售業。這當中不僅有IT技術，還有溫室氣候控制等各式設備，並有營運、流程、策略等層面。

因此，荷蘭在建立HSD創新中心時就汲取了相關教訓，我們需要共同合作，才能在整個領域做到有效推動，並要聚焦在協助建立資安意識，並確保所有相關企業知道如何增強數位安全。

甚至，他們也將相關經驗套用到荷蘭製造業，這項策略是從荷蘭南方開始試行，再擴展至全國境內。

Joris強調，我們必須確保的不只是個別企業，而是要讓整個供應鏈，都能在網路韌性上達到更高的水準。

繼續閱讀：荷蘭HSD專家在臺揭露最新歐盟資安法規趨勢，NIS 2、DORA、CRA是重要焦點

 相關報導