華碩資安長:大廠應帶頭樹立供應鏈資安管理制度
華碩全球副總裁暨資安長金慶柏表示,去年國內上市櫃公司公告資安事件共約23起,今年前2月已有9起,「現在很多駭客,打你打不進去,改去攻你的供應鏈」,他呼籲企業資安防禦不能單打獨鬥,大廠應帶頭樹立供應鏈資安管理制度與標準。
華碩全球副總裁暨資安長、台灣資安主管聯盟會長金慶柏,今天參加台灣青年數位文化創新協會舉辦的AI與資訊安全論壇。他表示,現在駭客已經組織化,手法超級多,包括駭客供擊、勒索軟體、釣魚網站、資安漏洞、商業郵件詐騙等,企業資安事件層出不窮。
金慶柏表示,根據統計,2023年國內上市櫃公司公告的資安事件共約23起,受害企業涵蓋汽車、電機、觀光、塑化、生技等各產業。2024年光前2月已有9起,如果按此進度推算,今年全年資安事件可能較去年倍增。
金慶柏特別提醒,現在供應鏈資安管理愈來愈重要,因為大廠有較多資源建構資安防禦,台灣眾多的中小企業,平均1家公司只有6名員工,根本沒有足夠資源。「現在很多駭客,打你打不進去,改去攻你的供應鏈」。
金慶柏強調,防禦力不足的供應鏈恐成為資安破口。他呼籲大廠應帶頭樹立整個供應鏈的資安管理制度與標準,資安防禦範圍要擴大到整條供應鏈。
他舉例,在國內,台積電攜手工研院共同成立的SEMI資安工作小組,2022年推出半導體產線設備資安標準規範SEMI E187,從源頭規範建立設備資安標準的基準線,象徵台灣半導體業界的資安意識提升及落地實踐。
至於在國外,金慶柏說明,美國國防部2023年推出CMMC2.0網路安全成熟度模型認證,2026年將全面實施,成為美國國防供應鏈廠商必備的驗證基準,未來如果要搶食美國國防相關商機,符合CMMC規範將成為必備的入場券。
