荷蘭資安三角洲(HSD)基金會總監Joris den Bruinen在2024臺灣資安大會第二天主題演說上,闡釋荷蘭如何應對網路安全新興威脅與歐盟指令,並強調公私夥伴關係建立的重要性

全球各國都在重視資安的推動,歐洲的發展也是全球關注的焦點,2024臺灣資安大會也持續推動國際交流,邀請荷蘭資安三角洲Security Delta(HSD)的專家親自到場發表主題演說,闡述荷蘭所面對的威脅態勢,以及採取的網路安全策略與行動。

關於荷蘭,以地理位置而言,大家可能知道荷蘭的阿姆斯特丹是歐洲最繁忙的機場,並有著歐洲第一大港鹿特丹,若是在高科技產業的層面上,大家可能想到臺灣有台積電,荷蘭有艾司摩爾(ASML),但在資安威脅態勢上,荷蘭是否面對與我們相類似的問題,大家或許不曾想過。

在本次大會主題演說上,荷蘭資安三角洲(HSD)基金會總監Joris den Bruinen特別以荷蘭為例,說明隨著資安威脅持續轉變,改變遊戲規則的Game changers正衝擊著我們,不同規模大小企業、政府與民眾都要有所體認。

對於荷蘭而言,近年遭遇哪些重大網路威脅?Joris舉出5起影響甚鉅的資安事件。

首先,在2017年鹿特丹港口曾發生三分之一停止運作的情形,原因是俄羅斯駭客針對烏克蘭發動大規模網路攻擊,連帶航運巨擘馬士基旗下碼頭營運商APM Terminals也受NotPetya攻擊影響所導致。這起事件衝擊了我們的實體世界,造成龐大的損失。

荷蘭高科技業ASML也經常受到攻擊,有一段時間更是同時遭遇網路攻擊與內部員工竊密的威脅。這類攻擊導致了智慧財產權被竊取的問題。

不只是大型跨國公司有資安危機,荷蘭當地知名的製造業VDL集團,3年前也遭遇勒索軟體攻擊,特別的是,這是一個家族企業,也成為網路攻擊的目標。

荷蘭物流公司Bakker Logistiek也曾遭遇勒索軟體攻擊,但這起資安事件還嚴重影響民眾,因為,當時超市販售的乳酪竟因此事件而缺貨。

Log4j漏洞的資安危機也是一例,全球都受影響。這個開源元件存在於許多軟體之中,就像食品中的糖一樣,到處都有,我們甚至不知道它在哪裡,這對許多企業組織來說,就是一場嚴重的網路危機。

網路威脅日益複雜,荷蘭政府重視公私協力,也要幫助中小企業

上述這些就是荷蘭所面對的威脅現況,若是更進一步來看,關於整體歐洲的資安威脅態勢,Joris den Bruinen引用歐盟網路安全局(ENISA)公布的2020年的15大網路威脅,說明現在態勢已是更複雜的威脅組合。

例如,惡意程式、勒索軟體等這些威脅,經常從網路釣魚開始,這樣的威脅結合已成為荷蘭的首要威脅,還有假冒執行長的商業電子郵件詐騙,為荷蘭國家經濟帶來嚴重損失。

未來我們還將面臨新的威脅,近年就有一些預料之外的重要變化,例如,因地緣政治國家相關攻擊的風險持續攀升,網路犯罪即服務商業模式讓勒索軟體攻擊事件大增,新技術也會帶來更多新興風險,像是IT/OT漏洞的持續成長,以及生成式AI被用於惡意軟體創造與網路釣魚手法改進。

Joris den Bruinen表示,根據ENISA公布的「2030年10大新興網路安全威脅」,我們可以看出一些端倪。從軟體相依性的供應鏈攻擊、運用新興技術散播不實資訊,數位監控威權主義崛起,一直到技術短缺、AI濫用等,都是重要議題。

因此,這些年來,不論荷蘭或是歐盟,都在持續設法積極應對資安風險。

荷蘭本身如何應對這些威脅?Joris表示,他們在2012年制定了第一個戰略,建立國家級的荷蘭網路安全中心(NCSC),專注於荷蘭政府部門與關鍵基礎設施的保護,共涵蓋350多個組織。

然而,只保護350個組織是不夠的,特別是考慮到資安威脅在不同層面的擴散,因此,2018年政府開始意識到要幫助中小企業,於是成立數位信任中心(Digital Trust Center,DTC)。而且,預計2026年,NCSC與DTC將進一步整合。

從整體歐洲層面來看,還有ENISA歐盟網路安全局這樣的組織,推動成員國提升整體網路安全水準。

至於這些機構的重要行動上,聚焦在公共政策、公私合作夥伴關係,宣導活動,以及責任悖論。

他強調,建立公私合作夥伴關係是一大重點,如資安資訊分享與分析中心(ISAC),讓大家更好提前應對嚴重威脅,一旦事件發生,NCSC也會告知公眾並幫助受害企業。而在資安意識提升活動舉辦上,每年會有不同重點,像是針對老人、年輕人、中小企業等不同族群,還有歐洲網路安全月、網路安全周等活動等宣傳活動。

關於責任悖論,他指出,若個人和組織都認為網路安全是另一個人的責任,又如果是每個人都負責,最後可能沒有人會負責,因此政府的因應就是需要透過立法來界定與規範。

近年就有幾個重要的法案,例如:在網路安全策略上,2022年底發布的歐洲第二版資安指令NIS 2,將在今年10月18日成為強制性指令,使保護的對象從關鍵CI擴大至重要中大型產業;針對金融資安領域,2022年底還有通過數位營運韌性法案(DORA),預計將在2025年1月17日前生效;針對產品安全領域,還有已在最後通過發布階段的網路韌性法(Cyber Resilience Act,CRA)。

荷蘭HSD建構產官學研聚落,以加速發展網路安全解決方案為目標

另一方面,Joris談到了自身組織荷蘭HSD,強調公私合作夥伴關係、生態系統的建立,也是整體資安推動的重要一環。

事實上,關於荷蘭HSD,可能有些人更有印象是海牙資安三角洲(The Hague Security Delta,HSD),在Joris的介紹下,我們才發現,這個2013年7月成立的非營利組織HSD基金會,現已更名為Security Delta(HSD),H代表荷蘭,原本Hague(海牙)一字已經去除。

Joris表示,HSD是荷蘭重要的資安產業聚落,有超過300個官方與民間組織加入其中,是一個集結產官學研的公私協力平臺,也是一個創新基地,專注於城市、國家與關鍵基礎設施保護等重要議題。

特別的是,在HSD的成員中,不只是有荷蘭政府單位,還有大型企業、中小企業、國際組織、研究單位、教育界的夥伴,國際合作同樣重要,因此成員中不僅包含大型國際資安業者,並且也有來自臺灣的夥伴。

例如,為了打入歐洲市場,在荷蘭設有辦公室的幾家臺灣業者,包括:身份認證業者來毅數位科技(Lydec&Keypasco),網路安全硬體設備製造商立端科技(Lanner),還有工業技術研究院(ITRI)亦在當地設有辦事處。事實上,近幾年來臺灣與荷蘭相互之間,已有多次的國際資安交流活動。

Joris強調,資安領域的公私協力、國際交流都很重要,HSD持續聚焦於緊密的產學合作,以促成活躍的資安生態系,而他們的重要任務,就是加速HSD成員間的合作,並在知識、創新、市場、資金、人才層面為其創造價值。

關於HSD在創新上的發展經過,Joris提到HSD近年特別重視3大主題,包括:網路安全與韌性、資料與AI,以及智慧安全社會,因此,HSD本身也建立了一套資安創新方法,透過4步驟來創造更多合作契機。

例如,從一開始的探索階段,研究思考問題是什麼?是否已有解決方案?是否需要創新或新知識?

接著是成立聯盟階段,以找出相互可以合作夥伴與方式,再到營運聯盟階段,共同開發和測試創新解決方案,以及最後的收穫階段,展示全新解決方案,並盡可能在國內和國際上推廣。

整體而言,有了公私夥伴關係這樣的平臺,如何促進合作、加速合作就是重點,尤其是供應鏈的合作。

為了讓大家更好理解,Joris以荷蘭重要的農業發展為例。他表示,隨著多年來的轉變,傳統用馬耕地到現在成為非常創新領域,而背後是一個完整的供應鏈,從種子、肥料與溫室場域,到種植者、市場、物流到最終消費的零售業。這當中不僅有IT技術,還有溫室氣候控制等各式設備,並有營運、流程、策略等層面。

因此,荷蘭在建立HSD創新中心時就汲取了相關教訓,我們需要共同合作,才能在整個領域做到有效推動,並要聚焦在協助建立資安意識,並確保所有相關企業知道如何增強數位安全。

甚至,他們也將相關經驗套用到荷蘭製造業,這項策略是從荷蘭南方開始試行,再擴展至全國境內。

Joris強調,我們必須確保的不只是個別企業,而是要讓整個供應鏈,都能在網路韌性上達到更高的水準。

繼續閱讀:荷蘭HSD專家在臺揭露最新歐盟資安法規趨勢,NIS 2、DORA、CRA是重要焦點

 

 相關報導 

熱門新聞

Advertisement