天天要聞

ICT廠商資安風險高!資安院推動產品資安行動計畫

圖1. 國家資通安全研究院副院長龔化中談臺灣ICT產品資安趨勢;攝影:北美智權報╱吳碧娥

※如欲轉載本文,請與北美智權報聯絡

吳碧娥╱北美智權報 編輯部

2024年黎巴嫩發生呼叫器爆炸事件,當時在現場發現印有「Made in Taiwan」的呼叫器,雖然事後證實是由以色列策劃,但臺灣產品出現在事件現場,仍讓外界對產品設計與供應鏈的資安風險產生疑慮。

國家資通安全研究院副院長龔化中指出,由於電子產品出貨量大、使用年限長、韌體更新頻率低,如果電子產品設計不夠安全,很容易成爲駭客攻擊的目標,利用產品的資安漏洞進行「供應鏈攻擊」。產品資安對ICT廠商有具重大影響,不僅會影響品牌信任度與營運穩定性,也可能波及國際市場與地緣風險,成爲各國政府與產業都必須正視的關鍵議題。

臺灣ICT產品資安相關的事件

根據資安院統計2022至2024年間,臺灣政府因ICT產品漏洞所引發的資安事件逐年上升,從2022年的33件上升到2024年的110件,顯示政府資安防護方面存在重大挑戰。國家資通安全研究院副院長龔化中觀察發現,2023年至今的資安事件主要都是由駭客鎖定邊際設備、網通設備而發動攻擊,歸納駭客的攻擊模式,大部分是利用CVE弱點入侵;而透過政府資安通報,通知其他機關即時修復漏洞、避免擴散,才能大幅減少重複的資安攻擊。

ICT產品資安風險的源頭有兩種,一種是常見漏洞和披露(common vulnerability,CVE),產品使用的作業系統或軟體元件有弱點;另一種則是常見弱點枚舉(common weakness,CWE),來自軟體設計不良或設定不嚴謹。

要解決層出不窮的資安漏洞CVE問題,除了弱點掃描和即時的韌體更新,也要協助廠商導入軟體物料清單(Software Bill of Materials,SBOM),確保產品供應鏈軟體組件的透明化,符合美國「網路安全信任標誌」(U.S. Cyber Trust Mark)、歐盟《資安韌性法》等國際法規要求,並建立SBOM 監控機制,強化供應鏈安全管理,有效降低供應鏈攻擊風險,同時也要建立完整軟體組件透明度文件,確保產品符合國際資安法規,強化臺灣產業在全球供應鏈的競爭地位。

另一方面,許多產品資安風險來自於自身開發的設計不良,因此在軟體開發初期就必須先將資安防護因素納入考量,每個開發階段都要符合「安全軟體發展生命週期」(Secure Software Development Life Cycle,SSDLC),藉由軟體開發流程導入資安設計,以及完善的通報修復系統,以提升軟體的安全品質和防護。

國際合作推動產品資安規範

目前國際間發展產品資安標章或認驗證機制的趨勢,是透過與其他國家簽訂合作備忘錄(MoU)和相互承認協議(Mutual Recognition Arrangement,MRA)等方式,以國際合作的方式促進共同的產品資安規範。所謂的相互承認協議,是在國內取得產品測試或驗證結果的業者,可直接獲得對方國家政府的承認,不須進行額外的測試或驗證。不僅可以促進國際貿易,尤其能減輕企業在技術標準和測試認證的成本,有助於實質減少貿易壁壘並促進該國的產業發展。

歐盟

在歐盟網路安全局(ENISA)監督下推動的「資安認證框架」(Cybersecurity Certification Framework),分爲歐盟資通訊產品共同標準資安驗證計劃(EUCC)、歐盟雲服務認證(EUCS)以及網路安全認證(EU5G)三個計劃執行;另外,歐盟擬推動《資安韌性法》並考量其他國家的技術發展與符合性評估方式,與第三國簽署MRA。

延伸閱讀:歐盟《資安韌性法》2027 年強制執行,臺灣廠商如何應對?

日本

日本「Japan Cyber STAR」[1](JC-STAR)是基於日本網路安全技術評估要求的標籤計劃,由隸屬日本經濟產業省底下的獨立行政法人情報處理推進機構(Information-technology Promotion Agency)監督並分爲4級,根據其自身標準確認物聯網產品是否符合安全技術的一致性要求,同時也與日本國內和國際標準相協調。除了國內認證外,Japan Cyber STAR也規劃與其他國家簽署MRA。

新加坡

爲了提高物聯網安全性,新加坡於2015年成立新加坡網路安全局(CSA),爲新加坡建立完善的物聯網產品網路安全防護機制,並率先於亞太地區推出物聯網的網路安全標籤機制(Cybersecurity Labelling Scheme, CLS),使消費者能夠識別符合網路安全規定的物聯網產品[2]。新加坡除了已和芬蘭簽署MoU之外,CSA於2024年10月與韓國網路安全局(KISA)和德國聯邦資訊安全局(BSI)簽署網路安全標籤認可協議,相互承認對方的網路安全標籤要求並可獲得認證。

韓國

韓國網路安全局將「IoT資安認證」分爲3級,目前除了與新加坡簽署MRA;也與德國簽署MRA意向書。

美國

美國已於2023年宣佈將推動「美國網路信任標誌」的導入計劃,目的是爲消費性物聯網產品提供網路安全認證和標籤,並預計於2025 年實施。「美國網路信任標誌」未來可能與歐盟《資安韌性法》相互承認,不過目前尚未見公開具體規劃。

龔化中指出,臺灣目前已有物聯網資安標章機制,像是臺灣資通產業標準協會的「物聯網資安標章驗證證書」,或是行動應用資安聯盟認證的「物聯網資安驗證合格證書」。有鑑於產品資安標章或認驗證機制的國際發展趨勢,資安院將協助推動與國際接軌的產品資安標章及認驗證機制,尋求與他國對話,商討、制定適宜的產品資安標準,參考臺灣既有的基礎及國際發展,進一步推動能與國際對接的資安標章與認驗證機制。

ICT產品資安行動計劃

此外,爲提升國內產品資安治理能力,資安院正推動ICT產品資安行動計劃,聚焦於教育訓練、制度建立與法規接軌三個層面。龔化中指出,資安院目前正研擬針對安全軟體開發與軟體安全檢測兩類工程師的職能課綱與實作教材,將以Security by Design爲核心,發展教育訓練內容,協助工程師在產品設計階段即考量資安架構,從源頭降低事後修補風險。

圖2. 資安院推動ICT 產品資安的行動計劃;圖片來源:資安院

同時,資安院也推動「產品資安事件應變小組制度」(Product Security Incident Response Team,PSIRT),並執行「漏洞獵捕計劃」(Bug Bounty Program),PSIRT負責主動檢查、處理來自使用者或內部的產品漏洞通報管理,防止漏洞被駭客利用;而臺灣ICT產品的漏洞獵捕計劃則由資安院擔任第三方公正單位,建立測試與通報流程,並邀請共同供應契約廠商與資安業者提供產品作爲攻擊標的,由資安院審查認可的白帽駭客進行演練,實際驗證產品防護能力,協助企業建立回報與修補流程,提升資安韌性。

在制度層面,資安院正推動電子產品資安法規與標章制度,並以接軌國際爲核心方向,參考英國PSTI、歐盟《資安韌性法》等主要規範,確保臺灣制度設計與國際趨勢同步。龔化中表示,若能在制度研究與訂定的階段就與國際標準對齊,未來廠商只要遵循一次規範,就能降低多國重複法遵與驗證的成本。

龔化中強調,推動產品資安無法單靠政府或單一企業完成,必須仰賴跨部門、跨產業的協作,才能從設計、驗證到法規層層落實,並讓臺灣電子業成爲國際信賴的產業。

資料來源:

備註:

[1] 參考資料:https://www.ipa.go.jp/en/security/jc-star/index.html。

[2] 參考資料:2023/6/30,新加坡物聯網產品網路安全防護之初探。

驊訊電子總經理室特助

經濟日報財經組記者

東森購物總經理室經營企劃

延伸閱讀&電子報訂閱連結:

【詳細內容請見《北美智權報》380期;歡迎加入NAIPNews網站會員,或以系統訂閱《北美智權報》】

相關資訊

DMCA | PRIVACY | s@bg3.co