合勤投控以駭客為師，將資安轉化成企業競爭優勢

對於從事企業資安工作的工作者而言，網路駭客應該是企業資安從業人員痛恨的對象。不過，對於合勤投資控股公司資安長游政卿而言，「以駭客為師」是他從事資安工作多年以來的工作準則。他說：「最強大的駭客，教會我如何打敗中等駭客。」

他進一步解釋，某種程度上，駭客是各種新型攻擊威脅的領先者，面對這樣強大的威脅，游政卿認為，只有正面、直球對決，將最強大的駭客當做老師，破解並分析這些強大駭客所使用的攻擊手法，進一步內化成資安工作者的對策和作為，才能夠累積足夠的資安防護技能，以確保企業資產的安全。

明白資安對企業帶來的痛，才會更重視資安

游政卿於2007年任職合勤科技資訊服務處協理一職，負責合勤科技的各種IT應用服務的推動，直到2010年，該公司成立合勤投資控股後，因為對各種IT服務採用集中管理方式，便將資訊服務處設在合勤投控之下，他也成為合勤投控資訊服務處協理。

合勤是臺灣知名的網通設備業者，兼具網通產品的設計、生產製造、銷售和品牌，加上也是臺灣國防安全產業供應鏈業者之一，相較某些品牌產品代工的高科技業者而言，合勤很早就意識到：「資安已經是該公司重要的競爭力。」

游政卿表示，早在2007年他任職合勤科技不久時，便曾有刑事局人員到公司找他，手上拿著從破獲中繼站（命令與控制伺服器）所發現的資料，內容包含合勤科技全集團的網域帳號和密碼。

回憶當時，游政卿坦言，看到刑警將外洩的公司網域和帳密資料拿到眼前，那股震驚和惶恐的心情，迄今仍歷歷在目；因為這件事牽涉甚廣，當時也立即回報給創辦人兼董事長朱順一。

因為資安事件的層級和業務運作需求完全不一樣，更涉及對公司更重要的供應鏈管理及營運決策，所以，在這件事情發生過後，董事長便決定，包括集團資安及所有的資安應變處理，都先由資訊服務處回報給董事長，並固定在董事會做報告。

資安不是IT的策略目標，卻會影響IT正常運作

游政卿從上任之初便和資安結下不解之緣，但即便資安很重要，他最主要的任務，還是肩負全集團各種資訊服務的效率和穩定。他說，在資訊服務處工作的這十幾年來，每天都必須要思考如何不斷提高網路彈性、強化維運效率，並且要做到根據業務需求，調整各種相關的資訊系統，「快速」、「彈性」和「穩定」都是資訊服務處最重要的策略目標，但「資訊安全」並不是。

雖然資訊安全不是重要的策略目標，但事實上，每天的網路活動都可以看到各種奇怪的行為，舉凡資料不正常流動、權限不正常使用，或是特定服務不正常存取等，這些其實都是每日常態。

游政卿表示，以往在資訊服務部工作的時候，必須聚焦IT，事實上，各種資安事件卻是不定期影響IT服務的彈性、效率和穩定。他當時便深刻體會到：身為IT人，如果要做好IT，反而更應該主動了解各種網路相關異常，並將資安視為IT服務穩定的重要關鍵。

因為重視資安，加上資安在合勤內部是由董事長親自督導，是由上而下的一條鞭通報及應變處理等，所以，資安在合勤內部其實是一門顯學。游政卿說，董事長對於資安的一貫態度則是：毋恃敵之不來、恃吾有以待之。畢竟，期待駭客不攻擊，是不切實際的想法，更應該務實了解駭客的攻擊手法，並且能夠找到可以對應的階段性紓解方式。

整個集團對於資安都有一定的重視和在意程度，不過，剛開始只是先從IT部門找懂得防火牆、懂網路的人成立資安小組；直到2013年，才真正成立專責的資安部門，並有獨立的資安專責人員。

攝影／洪政偉
做好資安除了資安技術能力外，更重要的是要懂得公司業務，才能夠展現資安對企業營運帶來的價值。── 合勤投控資安長 游政卿

化危機為轉機，產品資安成為企業新競爭優勢

資安在合勤內部，一直是上位位階的工作項目，公司從上到下都很重視資安。但是，資安要如何展現其對公司營運的價值，一直是游政卿念茲在茲的思考重點，而影響全球的Mirai傀儡網路，在某一次就直接衝擊到合勤的產品線，甚至對合勤營運帶來重大衝擊。

時間就發生在2016年11月28日，德國電信是合勤科技的重要客戶，當時，德國電信就遇到一次由Mirai傀儡網路造成的大範圍網路故障。在這一波網路故障中，德國電信2千萬個使用固定網路的用戶中，有大約90萬個路由器發生故障（約4.5%），而這些路由器就是合勤科技的產品。

游政卿表示，當年德國電信採購合勤科技的路由器發生故障，不僅讓合勤科技必須要為此投入大量的資源進行漏洞修補，也要支付德國電信一大筆罰款。

他坦言，這起事件也讓董事長開始思考：「不應該把要發給員工的獎金，變成是支付給客戶的罰款。」

因此，合勤科技為了蓄積更大的資安量能，也為了讓該公司推出各種產品的時候，一旦遇到爆發資安事件時，該公司具備足夠的資安量能可以即時因應，便決定在2017年4月，正式成立PSIRT（產品資安事件處理小組）團隊。

他表示，成立PSIRT團隊，不只是單純做好事後的漏洞修補而已，最主要的目的就是保護客戶和公司的信譽，更重要的是，做到把產品設計初期，就把產品的資安漏洞補起來，落實Security By Design（產品安全設計）。他說：「可以把資安在產品設計初期就落實，往往會比事後做漏洞修補還來得省事。」

合勤科技雖然因為Mirai傀儡網路的橫行，造成德國電信使用合勤科技網路路由器客戶的損害，並遭到德國電信罰款，但他指出，該公司直球對決，成立PSIRT團隊也帶來實際效益。

合勤在2018年名列德國電信的四大優秀供應商，這代表他們最終獲得客戶的信任，並對公司帶來實際的營收獲利，更讓資安成為與同業相比的競爭優勢。

正式設立資安長，職掌囊括資訊安全和產品安全

合勤科技在成立PSIRT團隊後，更是將資安變成該公司的競爭優勢。不過，合勤科技直到2019年9月30日，才正式任命游政卿擔任合勤投控資安長一職，並且直屬董事長朱順一。

游政卿笑說，做資安的人都必須要有一定程度的使命感，才能把資安做好！他說，正式接任資安長這天，也是他人生最重大的轉捩點，因為，這讓他可以實現他對資安的使命。

在其他高科技製造業還不時興指派資安長的時候，合勤科技便設立資安長一職，游政卿解釋，主要是董事長認為，公司內部雖然重視資安，也成立PSIRT團隊對應產品安全，但是，資安在企業內部的組織和角色、責任等，都還沒有做到真正的名實相符，於是，才決定建構相關的角色和職務分工，讓職務可以真正扮演期待的角色。

不過，合勤的資安長的職掌範圍，囊括資訊安全和產品安全，游政卿說：「畢竟，合勤是網通設備公司，有許多物聯網（IoT）裝置成為駭客幫凶，當該公司產品行銷全球之際，產品安全就應該納入企業整體安全的一個環節。」

再加上，資安治理已經是重要的企業治理環節，設立資安長角色，整合產品安全和資訊安全，隸屬董事長之下，和其他集團法務、稽核、智財權和安全部門是平行單位，他表示，企業對資安給予足夠的授權，也讓資安長可以扮演更稱職的角色和責任義務。

接任資安長半個月後，游政卿的第一要務就是讓「資安事件通報系統」上線，資料庫囊括弱點掃描、網路組態設定等資訊，讓通報的資安事件可以成為企業內部資安知識管理平臺（KM）的重要資產。

以2021年合勤科技資安事件通報系統的統計來看，該年度通報了997起資安事件，以及45個產品安全漏洞修補。

其中，除了常見的惡意程式軟體通報、弱點掃描通報，還有網路資安風險協定、加密強度、加密金鑰強度的網路資安風險通報，至於造成許多網路服務大廠出包的管理與設定的弱點通報等，也都包含在內。畢竟，他說：「很多資安事件的發生是肇因於工程師太粗心，許多管理設定、配置錯誤造成的。」

資安長不僅要懂技術，更要懂業務

一路從資訊長當到資安長，關於兩種職務的箇中差異，游政卿最有體會。

他表示，資安長和資訊長的差異，主要是對資安技術的理解和掌握有落差，資安長通常要了解威脅情報、安全技術和一些資安治理的策略等等，資訊長的心力，一般不會放在這些項目上。

但游政卿認為，資安長雖然必須掌握相關的資安技術和趨勢，但這些對資安長而言，其實都還是「次要」的技能，他說：「要當一位稱職的資安長，最重要的，還必須要了解公司的業務。」

他表示，效率和安全是天平的兩邊，資安長的重點是要掌握平衡之道，一味地傾向效率，一旦出現資安的風險，可能對企業造成營運或商譽的損壞；但若是一味傾向安全，公司營運可能因此缺乏效率，不僅缺乏競爭力，連帶也會造成公司營運的狀況不佳。游政卿說：「找到效率與安全的甜蜜點，資安長責無旁貸。」

另外，他也分享自身的管理經驗，合勤的資安長要管資訊安全和產品安全，不同部門之間如何調和鼎鼐，就必須培養聆聽溝通的軟實力，而在傾聽需求、滿足需求之外，也必須學會怎麼用對方聽得懂的話，講給對方聽，其中，學會觀察肢體語言也是重點。

再者，團隊領導能力也是重要的軟實力之一。他認為，要打造有向心力的資安團隊，就必須要做好向上溝通、平行部門協作，以及向下管理，這樣才能讓這個資安團隊有共同的目標願景，願意一起努力打拼。

由於游政卿兼管資安與產品的安全，該公司在2021年5月1日正式新增產品安全管理部，負責PSIRT及所有產品安全事宜，仍由資安長擔任直屬主管；更在同年6月，成為MITRE通用漏洞揭露計畫的CVE Numbering Authority（CNA）成員，成為臺灣第四家針對自家產品漏洞發布漏洞編號的企業。

此外，合勤更在每一款產品上市時，提供自家產品的資安檢測報告，藉此和同業區隔，而這也成為該公司落實資安成為企業營運競爭優勢的最佳實例。

游政卿表示，資訊安全是一種紀律，更是一種風險管理的動態過程，他身為集團資安長，除了要做到以駭客為師，更希望能將資安落實在公司的產品和每一個作業流程上。

 CISO小檔案 

合勤投資控股公司資安長　游政卿

學經歷：大同大學應用數學系畢業，最早是在工研院電通所工作，後來到業界工作，陸續任職於旺宏電子、虹光精密和陽明光學等公司，於2007年擔任合勤科技資訊服務處協理一職；2010年成立合勤投資控股後，資訊服務處採集中化管理方式，設在合勤投控之下；2019年9月30日正式接任合勤投控資安長一職迄今

  公司檔案 

公司名稱：合勤投資控股

成立時間：2010年3月23日

主要業務：合勤集團以合勤投控為母公司，子公司合勤科技聚焦於合勤集團品牌發展，子公司盟創科技則專注於產品與技術創新

總部：臺灣新竹

執行長：朱順一

年營收：226億元

員工人數：4,400人

 資安部門檔案 

資安部門名稱：資安部和產品安全管理部

資安最高主管：資安長游政卿

資安長直屬主管：執行長朱順一

資安部門人數：20人，4成資深員工、6成新手員工

 IT大事記 

 2007年：刑事局人員提供公司網域外洩帳密

2013年：成立集團專責資訊安全服務團隊

2015年：取得ISO 27001資安管理認證

2017年4月：正式成立PSIRT（產品資安事件處理小組）團隊

2018年：成立黑貓資訊，游政卿擔任總經理，負責合勤集團的資安業務

2019年9月30日：指派游政卿接任集團資安長

2019年10月16日：「資安事件通報系統」上線

2021年5月1日：新增產品安全管理部，負責PSIRT以及所有產品安全事宜

2021年6月：成為MITRE通用漏洞揭露計畫的CVE Numbering Authority（CNA）成員