供应链网安新挑战:从防护到合作的全方位策略
随着全球供应链的连结更加紧密,再加上黑客攻击手法不断升级,供应链的网安问题在近年来层出不穷,成为台湾科技产业面临的重大挑战之一。过去,企业多认为只要自己做好防护,并领先其他企业,就可以高枕无忧。然而,随着全球化程度的提升,这种过去的思维显然已经无法应对当前复杂多变的网安风险。
合勤投资控股网安长游政卿于日前DIGITIMES举办的网安峰会中指出,以往常被引用的网安比喻是:「当熊追逐你与其他人时,只要你跑得比别人快,就能逃过一劫。」但现在的状况却变得更为复杂:不仅是一群熊追逐一群人,而且这群人彼此还有绳子连结在一起。换句话说,单一企业已经无法在供应链的网安领域中「独善其身」,需要采取更全面的措施来应对。
除了黑客攻击手段日新月异,台湾科技产业还面临网安人才短缺的问题。游政卿坦言,半导体产业的「磁吸效应」使得其他领域难以吸引足够的网安人才,更遑论培育与留任。此外,数码转型所带动的云端服务应用快速增长,许多中小企业在推动数码化的过程中,往往在提升效率之后才开始考虑安全问题,如果管理层没有足够的资源来应对,便会增加风险。
供应链网安的挑战不仅来自技术层面,还涉及国际间对网安标准的差异。黑客不一定攻击最弱的一环,他们可能从「最具价值」的目标下手,一旦攻破其中一家企业,便能逐步攻击其供应链中的其他企业,扩大影响范围。
针对这些挑战,游政卿分享了合勤的具体应对措施,将供应商分为四类:关键供应商、软件供应商、硬件设备供应商,以及外包与顾问服务。对于这些供应商,合勤在采购合约中加入具体的网安管理要求。例如,若硬件设备本身搭载软件或韧体,则必须提供「无毒证明」,以确保其不含病毒。这些要求会基于可用性、效能和保护性三大构面进行评分,每个构面6分,满分18分,供应商需达到特定的标准才能通过审核。
对于中小型供应商,合勤也提供网安防护训练,教导他们如何应对不同类型的攻击。此外,合勤通过第三方风险管理(TPRM)持续监控供应商的表现,确保网安防护措施到位。游政卿表示,对于能够积极改善网安防护的供应商,合勤会加深信任关系,但若供应商无法改善,则可能影响未来的合作。
总结来说,游政卿强调,强化网安防护不应只是单纯要求供应商配合,还应将网安措施与业务订单绑定。唯有如此,才能推动整体供应链提升网安意识,采取正确的防护移动,避免盲目投资与不当操作,反而得不偿失。