資安議題已經從商業議題升級為國家安全議題,在數位浪潮下的生活、經濟各層面都需要資安作為發展的基石。尤其面對 AI 浪潮,只確保資訊的安全已經不足以涵蓋所有治理面向,而需要從國家未來發展層面重新解讀此議題。TechOrange 科技報橘舉辦「資安免疫系統強化論壇」,邀請業界專家分享趨勢。

TechOrange 科技報橘社長戴季全指出,光是 2022 年台灣詐騙犯罪成功竊取金額高達 60 億台幣,加上未成功的詐騙金額 24 億,顯然不能以單一詐騙案件而視之。隨著 AI、IoT與科技進步,智慧工廠、電動車、混合工作模式等都顯示出更多資安破口。在經濟發展層面上,需要強化供應鏈的資安意識與強度;在國家未來發展層面上,也不能以傳統方式治理未來的數位挑戰。

先不用想量子帶來的資訊威脅,光是 AI 帶來的資安挑戰就已經很關鍵

鴻海研究院執行長暨資通安全研究所所長李維斌負責從前瞻科研角度帶領鴻海集團思考未來技術應用發展,他看到量子運算的快速進展,將會為現今的加密系統與資訊科技帶來完全不同層級的威脅。但他更直言:「雖然量子發展已在路上,但 AI 所帶來的資安挑戰已可以算是一場 未來的前哨戰。

圖說:鴻海研究院執行長暨資通安全研究所所長李維斌在論壇上分享量子運算的快速進展,他表示,「雖然量子發展已在路上,但 AI 所帶來的資安挑戰已可以算是一場未來的前哨戰。」

李維斌提到 AI 對非預期的情境表現不佳,目前的軟體管理與測試機制也無法保障 AI 的安全性和可靠性。如何在軟體測試範圍之外來保障 AI 的驅動下軟體安全性與可靠性?如何確保在面對新狀況時,仍有人為控制的備用選項,確保決策正確?

這些大哉問都需要產業共同思考,同時企業也必須認知到舊的成功經驗,不一定能解決新的典範。未來要有新的典範創造新的價值,而且企業必須要適應這樣的變化,並且將這樣的變化內化成組織的新常規,並且思考資料治理原則就會是關鍵第一步。

有沒有可能打造一個資料可信任生態圈?

數位經濟暨產業發展協會副理事長詹婷怡呼應 AI 治理帶來的挑戰,提出:「數位世界轉變的是社會運作機制、決策判斷流程,資安必須要變成一個系統設計的先決條件,從基礎建設、系統邏輯、社會商業政治運作層面上都要思考,打造共通性的安全信任。」

未來的智慧化服務與應用場景,已經不是透過單一解決方案可以解決的單純問題。包含大規模物聯網、低軌衛星通訊服務建構出來的智慧通訊基礎建設,將會創造大量數據匯流,6G、車聯網、智慧城市都是全新場景。若每個單位只以單一角度去思考資安措施,而沒有通盤的考慮風險與分攤方式,就會成為社會巨大潛在威脅。

圖說:數位經濟暨產業發展協會副理事長詹婷怡呼應 AI 治理帶來的挑戰,「未來的智慧化服務與應用場景,已經不是透過單一解決方案可以解決的單純問題。」

詹婷怡倡議台灣需要串連社群、執法單位、產業界共同合作,創建一個「可信任的 AI 生態圈」,透過標準與業界適當行為來作為規範。因為資料治理的範疇已經不只限於資料技術本身,從信任、消除歧見到資料透明化等各層面都會是 AI 生態圈的關鍵一環。例如日本、歐盟、德國等不同國家都已經積極的透過立法、產業交流等方式來直球面對問題。

甫上任的臺北市政府資訊局長趙式隆,秉持著「科技普惠,無限台北」的願景作為他的服務理念,希望透過科技賦能將臺北市的數位進程推向多元與開放的新高度。他提到臺北市資訊局需要從政府如何適應未來的網路演變與數位化,做下一步的流程盤點。

目前在資安管理上,除了安全之外還需要有可持續性。因此市府的做法是透過從府院到市政府,各個執行機關層級都設立「資安長」做相對應專案管理、紅藍隊測試與數據化儀表版讓資安管理透明化、建制權限/軟體版本與合規管理控制、資安量測標準迭代更新等方式,針對每個一線窗口與承辦人員,更加強教育訓練的強度與資料敏感度,讓市政府資料治理可持續維運。

圖說:臺北市政府資訊局長趙式隆秉持著「科技普惠,無限台北」的願景作為服務理念,希望透過科技賦能將臺北市的數位進程推向多元與開放的新高度。

企業資安防護,有許多環節需要注意

Electrum Cloud 蔚藍雲策略諮詢總監黎嘉龍則是針對企業在勒索軟體等外在威脅下,如何持續日常營運與風險盤點做了更詳細的解說。勒索軟體通常是因為企業沒有使用多重因素驗證或是地端伺服器的漏洞入侵企業內部,或是透過惡意軟體感染造成破口而癱瘓企業的資安防護措施。

因此,黎嘉龍建議從各個潛在的破口都要建立適當的防禦措施,包含更新企業遠端應用程式、限制遠端存取的檔案資料權限、更新 VMWare ESXi 虛擬化應用程式漏洞、定期更新作業系統、使用多重因素驗證、考慮使用需驗證的 VPN 或是虛擬桌面,例如 Azure Virtual Desktop 服務都是企業資安的基本盤。另外,善用 Saas/PaaS 等雲端服務也可以讓企業的資安部署更加省力

圖說:Electrum Cloud 蔚藍雲策略諮詢總監黎嘉龍在論壇上針對企業於勒索軟體等外在威脅下,解說如何持續日常營運與風險盤點。

總的來說,對於任何企業來說沒有一定的標準流程來決定什麼樣的資安投資一定是最好,而是要從策略面開展去思考風險分攤、所需要的解決方案,才能真正界定多雲環境中的資安防護邊界,進而做到資安人員與資源的妥善分配。

智慧城市、電動車、製造供應鏈都應該用「生態系」概念來思考資安建置

圖說:若能從資料治理策略面為起點不僅可以應用在單一企業的內部資安管理,同時也是因應新世代智慧應用場景如電動車、製造業供應鏈的資安防護、智慧城市概念。

若能從資料治理策略面為起點不僅可以應用在單一企業的內部資安管理,同時也是因應新世代智慧應用場景如電動車、製造業供應鏈的資安防護、智慧城市概念。黎嘉龍認為智慧轉型需要設定目標,而不是只談產品與解決方案,才能盤點出方向與階段性目標, 最後才是如何做與全面實施數據治理

李維斌認為,像智慧車的安全性問題就包含:充電站、車主數據隱私、產品合規、環境適應等多層面問題,這些技術都需要結合情境與生態圈環節設計才能變成實體應用

趙式隆表示,智慧城市的數據應用更該注意數據即時監控與網路民主的平衡點。透過機器即時決策,同時搭配人為輔助平衡,並且同時注重市民數據隱私,才能讓臺北城市治理更智慧。

詹婷怡則從政府的數據治理隱私補充,政府的資安框架、組織與人資安的規管政策都要有各自的配套措施,才能讓政府的資料治理越發完整。應該推廣資料治理的生態圈,讓每個環節相扣,才能讓台灣整體社會及早開始準備 AI 時代的挑戰。