導入資安為產業創新嗎？從投資抵減談起

11月25日為西方的感恩節，當天行政院給國內資安產界一份大禮。《產業創新條例》修正案將資訊安全納入投資抵減優惠項目，和智慧機械與5G並列。我於去年第11次全國科學技術第2天會議現場，向主管機關請益此事的可行性。相信許多人也有同樣的見解，我只是比較幸運、可以現場提問。一年後，在產官學研專家先進共同努力下，終於促成美事一樁。

　因應全球供應鏈之動態版圖，本修正草案在於提升我國產業之國際競爭力：「強調資通安全亦為臺灣產業發展必須把握之關鍵領域，應儘速完備國內產業資安聯防體系，以確保我國產業在國際供應鏈上取得客戶信賴，並能因應國際日益嚴重之資安攻擊與威脅。」期望透過投資抵減鼓勵業者加速或提前導入資安，以儘速強化產業資安能力。

　風險管理取代被動管理

　從管理角度來看，為何導入資安為產業創新？這是高階主管的疑問。

　過去資安被視為漏洞，或是產品缺陷的一環。不管在產品面的資安測試驗證，還是產品面的資安應變小組，被視為「成本」而非「投資」。意思是資安可做可不做。有賺錢才做資安，沒賺錢不做資安。在我2019年起為公司董監事授課資安治理時，可以觀察到他們想法的蛛絲馬跡。根據今年為國內檢測機（AOI）業者之授課經驗，除了董事長之外、其他參與課程的主管（含IT）相當年輕。下課後，稽核私下對我說：資安他也不懂，等客戶要求再說。這種成本導向的思維，在國內高階主管屢見不鮮。

　這種被動管理已不合國際時宜。資安的難處在於既要深入，又要全面。在有限的資安資源之下，資訊人或資安人面對許多資安管理的難題。因此，國際數位韌性實務以風險管理作為其資源分配的優先順序（Priority），也成為最新國際資安標準背後的精神。

　資安標準往研發趨近

　今年11月有機會針對上述投資抵減被徵詢產業意見，我從國際資安標準的角度提供以下的建言。由於過去我國業者甚少參與國際資安標準制定，在企業體質與產品資安要求落後於國際最佳實務。以美國「國家標準技術研究所」（NIST）「網路安全管理架構」產業標準（Cybersecurity Framework）為例，不僅要求企業與工廠的資安體質，同時也要兼顧硬體、軟體與韌體面資安。

　另一方面，從最新國際產品類型（含機器設備）資安標準也可以看出端倪。不管是IEC/ISA 62443、軟體資安研發標準（BSIMM）、SEMI 最新資安標準（草案編號6506）或是車用電子資安標準（ISO/SAE 21434），將安全設計原則（Security by Design）原則整合至企業研發階段。也就是採取源頭管理，從產品設計之初就考慮資安風險。這些最新的資安標準除了產品的資安驗證，在企業產品生命週期管理也要與時俱進。因此，資安不僅是產品強固上的要求，更要同步提升至企業資安體質。

　相較於資安以事前防禦技術為主，數位韌性強調事後應變復原能力。根據全球研究調查報告「解構企業資安應變力」（Decode resiliency: How boards can lead the cyber-resilient organization），韋萊韜悅與英國經濟學人（EIU）整理受訪企業優於平均的資安能力自評項目：評估與量化風險（23％）、資安技術與治理之整合（21％）、評估資安風險文化（19％）、緊急應變（19％）、將資安整合至持續營運（18％）、分配足夠預算（16％）、在風險接納與移轉取得平衡（16％）、培養職場的資安能力（15％）、填補資安人才短缺（14％），以及從資安事件中學到教訓（13％）。除科技應用，數位韌性在於強調人員與組織的整合能力。在勒索軟體即服務（RaaS）的商業模式之下，當今駭客進行「木馬屠城」的攻擊。產業宜認清駭客亦為商場敵人，才能以研發創新積極因應敵暗我明的攻擊。