生成式AI的興起,以及量子運算的普及,正在為資安帶來全新挑戰。對於製造業而言,資安風險顯得更嚴峻。製造業必須保持製程與營運不中斷,同時保護機密數據,才能確保競爭優勢,並取得客戶信任、維護企業品牌聲譽。
針對日益升級的製造業資安挑戰,凱信資訊、台灣IBM,與商周集團日前共同舉辦「AI普及,資安升級」製造業高峰早餐會,數十家重要製造業者的資安主管齊聚研討最新趨勢,聚焦於如何為製造業打造更強大的資安韌性。
台灣IBM總經理李正屹:製造業成為駭客主要攻擊對象
「兩年前開始,製造業取代金融業,成為駭客最喜歡攻擊的產業!」台灣IBM總經理李正屹在一開場就點出,當製造業轉型為智慧製造,連網設備就成為攻擊者覬覦的對象。再加上AI盛行,也成為惡意攻擊的工具。而加速發展的量子電腦,未來更將改變加密生態。IBM 肩負全球量子安全的使命,致力於將後量子加密技術整合至自家的眾多產品中,也因此,IBM 研發的演算法成為NIST(美國國家標準暨技術研究院) 最新公布的後量子密碼學標準之一,推動量子安全防禦能力的升級。
凱信資訊董事長詹伊正:防禦邊界模糊,更需打團體戰
「網路資安是一項綜合專業能力,無法單靠一套軟體或機制做好。」凱信資訊董事長詹伊正也指出,目前全球資安法令規範日趨嚴謹,從IT到OT、IOT、AIOT,都已納入規範。為了打好資安團體戰,更需要由資安領導業者如IBM,以及在地夥伴與業者一起努力。而近期製造業更遭到許多攻擊,防禦邊界日趨模糊,更應做好嚴密的準備。
華碩資安長金慶柏:資安不是一個人的江湖!
「在2024年的世界經濟論壇全球風險報告中,科技相關風險2項首次排入前5大風險。」華碩電腦集團資安長,同時擔任台灣資安主管聯盟創辦人暨會長的金慶柏指出,不安全的網路環境在近兩年,甚至近十年之內,都會是國際間需要關注的重要議題。
他引述IBM在2024年的調查報告指出,資料外洩事件為全球企業和組織造成的經濟損失和負面影響,金額與廣度皆達到歷史新高。單起資料外洩事件為受訪企業增加的平均成本,竟高達488萬美元,顯見資料外洩造成的傷害程度日益嚴重。
然而,資訊保護的複雜度,卻已經大幅增加。由於數位轉型增加了資訊型態、資訊處理及傳遞管道的多樣性,再加上辦公模式改變,員工可以攜帶自己的電子裝置,擴大了曝險面積,同時也提升了追蹤資訊流動以及保護資訊的難度。
在這樣的情勢下,台灣的製造業正面臨前所未有的資安挑戰。
金慶柏指出,台積電的3000家供應商當中,在過去3年內,就發生了24件資料外洩事件。而台積電在今年6月召開的供應商大會上,首度聚焦資安議題,並提出對供應鏈夥伴的10項資安要求,顯見需求端對於資安的要求,正在急速提高。
除了客戶端對於製造業的要求標準提高,法規層面也讓製造業不得不更重視資安防禦。包括營業秘密法、個人資料保護法、製造業及技術服務業個人資料檔案安全維護管理辦法等法規,都要求企業必須採取合理的資料安全保護措施。
「資安不是一個人的江湖,必須整個供應鏈一起改善。」金慶柏說,華碩電腦集團數位安全中心的標語就是「建構數位韌性、提升品牌信任、追求卓越、安全同行」,製造業面對資安挑戰,也應該轉變思維,讓資安不僅僅是成本,更可以成為企業為客戶提供的附加價值。
⻑春集團資訊長黃至善:運用AI實現資安治理
「要防範駭客,就要有駭客的思維。」⻑春集團資訊長黃至善說,身為臺灣第二大石化集團,且大部分產品皆是自行研發,「研發精神」可說是長春集團的核心。創辦人總裁林書鴻以96歲高齡,至今仍然天天上班且每周親臨工廠,帶領團隊解決各項問題。這樣的研發精神,也展現在長春集團的資訊中心,許多方案皆是自行研發。
黃至善表示,長春集團目前也正積極轉型至「前瞻式安全思維」。在2023年,長春集團為了更了解駭客行為,開始學習木馬程式,掌握駭客常用的攻擊方法。2024年更開始統計及分析日誌數據,並建立生成式AI管理與AI模型,希望AI能判別異常狀況,並通知資訊人員。
為什麼長春集團要把AI運用於資安防護?「因為駭客也運用AI來攻擊你。」黃至善說,由於新型態的威脅日益複雜,防護就必須從靜態分析轉型成為動態的告警及防禦。
現在,長春集團已開始透過iGenie統一語言模型的使用入口,並留下使用者的操作紀錄。希望未來能運用生成式AI實施過濾機制,阻擋可能泄漏公司重要資訊的提問,以及有害的詢問內容。
他指出,長春集團期望「AI資安」能夠做到收集人、設備、應用程式、行為,以及法規遵循之間的關聯性,並找出潛伏的未知攻擊。未來,甚至希望運用AI進行資安治理,以符合美國國家標準暨技術研究院NIST CSF 2.0網路安全框架。
IBM資訊安全部劉泰興:洩漏的帳戶憑證成為最大威脅
台灣IBM資訊安全部資深技術顧問劉泰興說,資料安全是零信任的核心。萬一遺失或洩漏個人資料、健康資訊、智慧財產、交易資料、營業秘密等資料,都可能對公司業務產生重大影響。
然而,在2024年IBM的X force威脅情報指數報告中卻發現,「洩漏的帳戶憑證」才是最大的威脅,威脅程度甚至超過被駭客攻擊。駭客開始大量利用竊取到的有效憑證來登入系統,並竊取資料。在2023年,已經有30%的攻擊是利用有效憑證登入系統,由此更凸顯「帳號管理」的重要。
他指出,IT的現代化,讓企業必須同時管理分散的身份。例如不同的身份存取管理(IAM)解決方案具有不同的功能,導致「身份孤島」,無法實現一致的策略和身份驗證。分散的身份,也會導致防禦缺口和隱藏的弱點。此外,更由於管理成本高昂,讓資訊團隊缺乏能力和預算來管理IAM中的策略和合規,因而放棄了對於傳統應用程式的保護。因此,更需要簡化且整合的身份策略。
劉泰興表示,IBM Security Verify解決方案。具備綜合性身份管理架構,能跨越多平臺、應用程式和設備來。管理身份。不僅能整合現有的身份解決方案。也能提供身份狀態和威脅可視性的洞察。
除了AI帶來的資安風險,製造也正面臨「量子威脅」。劉泰興指出,未來可以運用量子電腦來破解公鑰加密系統的時間被稱為「Q-Day」。Q-Day甚至被NIST美國國家標準暨技術研究院認為可能發生在2030年,屆時,量子電腦可能被惡意者掌握,並且進行量子攻擊,大部分非對稱加密演算法都可能被破解。而面對AI風險與量子風險,IBM已提供一系列解決方案。
專家對談:站在巨人肩膀上,打造資安大韌性
在專家對談階段,凱信資訊 SOC資安監控中心負責人暨副總經理林文泰則表示,凱信資訊20年來服務許多跨國製造業,發現在疫情前的資安政策,大多偏重於人員的使用行為管理;在疫情後,則開始從「邊界安全」提升至「端點安全」。他認為,目前製造業的從業人員資安意識較為缺乏,因此資安政策,應涵蓋資料治理,到人員身份管控,進行全面提升。
林文泰也指出,國內金融業早期即成立「金融資安資訊分享與分析中心」(FISEC),進行團體防禦作戰,他建議製造業也應攜手合作,提升人員的資安意識。
金慶柏則回應,華碩早已成立資安委員會,橫跨一級單位,每月定期開會,並將子公司納入控管,不僅在供應鏈資安層面,於2021成立「高科技資安聯盟」,納入194家供應商會員,在產業供應鏈資安層面,也進一步於2022成立「台灣資安主管聯盟」,邀集195家產業供應商入會,期望透過眾人之力,聯手推動資安升級。
黃至善則建議製造業,為了強化資安韌性,應儘速完成ISO/IEC 27001 資訊安全管理驗證,其次,則要強化員工資安意識,鼓勵員工參加外部資安考試、認證,強化資安思維,學習駭客的思考行為,防範於未然。此外,他建議製造業者可以與IBM這樣的資安大廠合作,引進現成的方案,站在巨人肩膀上建立更完善的防禦實力。
與會專家也一致認同,在AI與量子電腦對資安形成全新挑戰的態勢下,製造業除了做好完善備份、加強數據保護之外,也應該加速提升人員資安意識,為企業的永續經營,打造更強大的韌性。
