上市櫃傳統產業如何跟上現今資安威脅趨勢強化內部的資安治理?在今年臺灣資安大會上,旗下擁有大陸工程的欣陸投控資訊部副總經理費而隱分享他們的作法。
欣陸投控旗下擁有大陸工程、大陸建設、欣達環工公司,涵蓋土木及營建工程、不動產開發、環境工程及水資源處理,擁有近2,000名員工,為國內上市公司。費而隱過去曾在台積電、鴻海、IBM等企業任職,在半導體、科技業、醫藥物流擁有豐富的資訊治理經驗,並於2022年加入欣陸投控。
企業推動數位轉型發展過程中,數位科技應用目的是提升營運效率,也是大多數公司數位轉型發展的利器,從半導體、科技、醫藥物流到傳統產業推動資訊化的經驗,他將數位科技比喻為西遊記手持金箍棒的孫悟空,一路降伏各路妖怪保護唐僧西天取經安全,但是數位科技應用也需要妥善管理,才能讓孫悟空不會暴走影響取經,資安治理就如同緊箍咒,避免孫悟空暴走失控,扮演好護道者角色,
「金箍棒和緊箍咒,如傳統產業運用數位科技提高業務效率,又要兼顧資訊安全及風險管理」,費而隱說。
費而隱表示,欣陸投控的數位優化整體策略是,提升營運效率、強化風險控管、建構數位韌性。圍繞在該核心策略下,子公司業務加速運用數位科技,例如大陸工程導入BIM、無人機量測,以及儀表板視覺化的工地管理,大陸建設則運用數據分析,進行市場分析及產品優化,欣達環工以水資源處理為主,運用SCADA、遠端監控,涵蓋IT及OT管理、ESG相關議題。三個子公司之外,全集團也強化數位工作場所,運用數位化工具,例如以雲端優先、行動化提升員工生產力及數位力。
欣陸投控另一項全集團推動的重點則是資訊安全,推動ISO認證、SOC建置,加強權限管理,還有建構資安文化,還有對上市公司而言,相當重要的法遵機制。
「資安在公司內部也成為經常被討論的管理議題,甚至是策略議題」,費而隱說。
傳統產業的資安治理困境
從重視資訊化發展、嚴密資料安全的半導體、科技業投身到傳統產業,他分享對傳統產業推動資安治理的觀察。
首先是,被動防守,缺乏戰略視角,資安經常被認為是資訊部門的工作,例如安裝防毒軟體、防火牆就認為作好資安,另外,也缺乏管理階層的預算及支持,管理高層對於資安的意識也比較薄弱。
費而隱回想剛進入公司時,曾與老闆討論到資安議題,當時高層反問他,對營建業而言,資安風險很大嗎?公司內存在什麼機密資訊嗎?這讓他感到意外,也印象深刻,因為公司內的資料都屬於營業祕密,都有被妥善保護的必要,另方面客戶的個資保護也很重要,都是資安防護重要的一環。「必需透過不斷與老闆對話,向老闆洗腦資安的重要性」,他說。
其次是,內部資訊系統發展較早,這些系統使用到現在已相當老舊,去年欣陸淘汰使用超過20年的舊系統,該系統使用Powerbuilder開發,為Client-Server架構,由於維護管理困難,加上漏洞難以修補,不得不打掉重練,委外重新以.NET開發新系統,但因應使用者的要求,外觀仍保留與舊系統的相似。
另外,傳統產業也面臨人才招募困難,難以吸引年輕的人才,並且,不少員工對資安的認知仍停留在防毒軟體,對於社交工程等內部的風險警覺性不足。
加上欣陸為上市公司,受到個資法、資安法、上市櫃公司相關法規的規範,特別是近幾年對資安的重視,但業者知道該做,卻不知道如何著手,另方面,外部的威脅如勒索軟體攻擊頻傳,供應鏈風險增加。
資安不只是導入技術,更重要在於建立治理規範
費而隱表示,以往企業的資安策略習慣從技術思維切入,當時他加入欣陸,發現公司內部署防毒軟體、防火牆、IPS、XDR,甚至是購買暗網的情資,看似不吝鉅資投資資安,但是缺少資安治理的思維,當時進入防毒軟體管理後臺,發現不少亮紅燈的警示,雖然導入許多數位工具,但是缺少營運面持續維運管理。「當我們導入許多數位工具,如同金箍棒可大可小變化多端,但如果沒有好好的控制就可能會失控,必需考量風險,用資安緊箍咒作好平衡」,他說。
他分享資安治理的六個心法,第一個心法是先建立紀律,如同唐僧為孫悟空戴上緊箍咒,建立資安政策及ISO27001框架,建立企業基本的紀律規範;第二是建立界線,如同緊箍咒為孫悟空畫分清楚什麼能做,什麼不能做,建立界線包括權限管理、網路區隔、系統隔離;第三是提醒,如同唐僧時常唸咒提醒孫悟空,資安也需要教育演練、社交工程演練,建立員工的資安意識。(下圖來源:費而隱)
.jpg)
第四個心法是懲戒,唐僧一發現孫悟空做錯事,就立即唸緊箍咒。企業建立事件通報、快速應變措施,快速止損;第五個是監控,如同唐僧監督孫悟空一言一行,企業部署SOC資安維運中心,監控異常發生的情形,防範於未然;第六個心法是要讓資安治理成為隱形存在,如同西遊記的後期孫悟空不再被唸咒,因為孫悟空學會自律,不再隨意殺生,換言之,讓資安從外部的規範內化為企業文化,雖然看不見,但是已成為企業組織文化的一部分。
從管理面、技術面、文化面加強資安治理
對於企業如何加強資安治理?費而隱建議企業可參考數發部委託CISA制定的「資通安全管理法」指採購指引懶人包,當中將資安治理分為三大構面,技術面(例如弱掃、端點防護、滲透測試等等)、管理面(建立制度、稽核、治理評估等等)、認知與訓練面(員工教育訓練,培養組織文化)。依照政府機關重要性分級,分為A、B、C、D、E等級,其中A級機關規定最嚴格的資安防護等級。
儘管企業建立資安治理的紀律,但在落實上需要持續執行,費而隱直言,依照國際資安治理標準的規定,需要定期稽核企業的落實情形,但企業在資安治理缺乏持續落實,例如企業因為內部資源的調度,將原本應該執行弱掃的經費移作他用,或是只對新進、資深員工作最初資安教育訓練,之後沒有執行定期訓練,這些都反映建立管理面、認知與訓練面沒有妥善執行。
為加強資安治理,費而隱向欣陸集團的高層建議導入ISO27001資安管理機制,他表示,欣陸集團過去3年導入ISO27001認證,這並不代為欣陸的資安做的很厲害,但是代表至少有60分,因為建立基本的治理框架,每年針對PDCA持續改善,並且建立內外稽核制度。
欣陸集團採集團驗證模型,分三年依序導入ISO27001於各成員子公司,先在大陸建設、欣達環工導入,再在大陸工程導入,在顧問的輔導下,由SGS外部稽核,並採用PDCA持續改善。
.jpg)
最近幾年,證交所、金管會先後發布上市櫃公司重大訊息、年報、資通安全管控指引,要求發生資安事件應發重大訊息,下修資安事件發布重大訊息通知的門檻,還有資通安全內部管控措施,國發會也修正個資法。2024年5月金管會督導證交所、櫃買中心推動八大資安措施,例如重大資安事件揭露標準;擴大上市櫃公司首季抽查資安內控制度查核,從上市櫃公司的0.5%提高到1%;推動加入資安聯防中心等等。
面對金管會以三大面向,資訊揭露、公司治理、監理協助,要求上市櫃公司加強資通安全防護,欣陸集團為遵循要求,在內部建立檢查表,費而隱表示,欣陸在管理面已符合主管機關的要求。
例如在年報中揭露公司的資訊安全風險管理架構、資通安全政策、資通管理方案等等;公司網站揭露資通安全政策與作法;內控制度納入資通安全檢查暨法令規章遵循事項稽核;公司治理評鑑納入資安指標;定期向董事會報告資安執行狀況;通過ISO27001:2022認證;設立資安專責主管及一名資安專責人員;持續落實與遵循「上市上櫃公司資通安全管控指引」;加入TWCERT/CC資安聯防體系等等。
.jpg)
至於技術面部分,費而隱則提到從裝置點、系統端、網路端、資料端、監控端,從各端點建立縱深防禦機制。
在認知與訓練面,為提升員工的資安認知及意識,規定每位員工每年接受資安教育訓練2小時資安課程;其次是每年至少1次社交工程演練,如果違反第一次社交工程演練,後續再執行第二次社交工程演練;最後是資安事件演練,例如藍隊或紅隊演練,提高員工的資安意識及應變能力。
作到上述措施還不夠,費而隱揭露欣陸的下一步是,持續深化資安治理、強化韌性。例如在系統安全的組態管理上,目前仍以人工管理為主,未來目標為導入CMDB的自動化管理;而在雲端方面,針對雲端服務加強管理及雲原生CNAPP保護,其他的資安措施還包括供應鏈及第三方風險管理、身分安全及特權管理、零信任安全架構、強化資安事件的韌性、軟體開發導入DevSecOps等。
費而隱表示,數位轉型是企業破局的利器,但如果沒有資安治理,創新反而可能成為風險放大器,如同使用金箍棒推動創新,需要緊箍咒守護信任,對資安主管來說,創新及資安如同天秤的兩端需要平衡;企業導入ISO只是起點,治理才是關鍵,後續還需要持續PDCA改善,例如系統安全組態、零信任架構、雲端風險管理等等。更重要的是,資安不只是技術議題,如同緊箍咒內化悟空的自律,資安也應內化為企業文化,「資安不只是IT部門的責任,而是全體員工共同的責任,也是企業永續經營重要的一環」,他說。