智慧應用 影音
Dtalk
event

強化供應鏈韌性 資安聯防重要性日益提升

產業供應鏈環環相扣,面對資安風險與挑戰,「聯防」概念變得日益重要。符世旻

供應鏈牽一髮動全身的特性,在分工細緻、合作緊密的高科技產業尤其如此,面對層出不窮的資安攻擊,供應鏈成員必須很誠實接受,資安絕對不是企業自己做好就好,舉例來說,若自家供應鏈成員出現嚴重的資安疏失,客戶對公司的信任感一樣會大打折扣,而信任感卻是企業長久經營最重要的基石。

鴻海研究院執行長李維斌3日於「2021台灣資安通報應變年會」發表專題演講時指出,幾乎所有企業都認為資安議題很重要,但實際做到的資源投資卻不一定有及格,落入講起來重要,做起來次要,忙起來不要的情境。

不過隨著5G通訊的發展,如車聯網、醫聯網的願景,都讓資安問題從過去單純的security,又多了一層safety的考量;另一方面,萬物連網就代表有萬個攻擊點,企業已難存有僥倖的心態,不能再用「如果」哪天被攻擊該怎麼做,而是要轉換成:被攻擊了我要做什麼;要清楚意識到絕對的安全是絕對不可能的,面對資安事件,只有不確定性是確定的。

要通過網路安全邁向供應鏈韌性之路的過程中,生態系要借力使力、小步快跑,關鍵是要有一個開放的思維(mindset),若是有一個老大哥在其中控制過頭,很容易把Ecosystem變成Ego-system,成員間就無法實現相互賦權(empower)的理想狀態;其他值得關注的點,還包含企業參與資安生態系,概念是為求生存(fight for survival),還是追求價值的創造(creation of value),這些問題沒思考清楚都會促成Ego-system孳生。

以鴻海MIH平台為例,底層架構雖然是「零信任」(Zero Trust),但更重要上位思維是Teaming,好比是國家音樂廳裡的樂隊指揮家,可能不會懂得演奏每一種樂器,但指揮的都是各項樂器中的首席,帶領團隊一起做出一首和諧的曲子。

在緊密相連的供應鏈中,過去獨善其身的資安防護提升已不足夠,慎選供應商,甚至在採購流程裡,強制納入供應商的資安能力評估都是未來可預見的情景;此外,企業也得考慮投資建立數位鑑識能力,即如何向客戶說明、提出具體的例證,去釐清一旦出現資安攻擊時,自身已經做了哪些努力、盡到哪些責任。

華碩資安長金慶柏也以「聯防」概念作出呼應,提到若要建構一個具備韌性且安全的數位環境,產業界應該走向聯防,從組織層級擴展到集團,再進一步拓及到產業聯防,甚至是與政府單位或國際的公私聯防,將變得愈來愈重要。

透過不同規模的聯防,才有利於爭取時效,實現防護資源的最佳化,將安全融入產業生態中,讓參與聯防的所有上、中、下游夥伴,能持續交付、提供安全的產品與服務;在資安防禦上,需要講求「零信任」,而在聯防上,供應鏈則需要相互信任。


  •     按讚加入DIGITIMES智慧應用粉絲團
更多關鍵字報導: 供應鏈 資安