供應鏈韌性是這幾年大家一直在談的議題,在 Covid-19 疫情後更突顯斷鏈的嚴重性與影響之大將可能連帶衝擊到全球各個產業,隨著資訊科技在企業組織與供應鏈當中所承擔的責任越來越大,網路安全(Cybersecurity)與韌性(Resilience)之間的關聯性將沒有疑義,在當前的經營環境下,沒有網路安全就無法進一步做到韌性。
鴻海研究院執行長兼資安所所長李維斌博士講座主題「透過 Cybersecurity (網路安全)邁向供應鏈韌性之路」,幽默引鴻海研究院重要項目之一的電動車熱議題,表示終於感受到資安來到了主角時代,從企業組織紛紛設置 CIO 或 CISO 切入,提到這兩者角色的現況挑戰及衝突,不適合同一人擔任。
CIO 會面臨許多辛酸血淚與不切實際的期待,再加上新的科技應用持續登場,如果不轉變心態還繼續聚焦在掌握 IT 技術,勢必會非常痛苦,李博士特別強調目前 CIO 最大的困難是「單位價值無法被正確認識」以及「目的與手段的混淆」,因此數位轉型趨勢其實是 CIO 很好的機會,從中找到單位的新價值,同時釐清真正的工作目的而非陷在技術層次,才不會讓跨部門溝通的問題持續出現。
當企業有能力去擁抱過去無法擁抱的風險,CISO 需要在資訊安全與競爭力間的評估與平衡之間扮演比較積極的角色,判斷該如何妥協風險,如何保護資安,如何應用新技術創新,不單純只是談防駭的工作,CISO 的工作有一定的複雜度。CISO 不要變成資安糾察隊而是要有能力主動建議,而 CIO 要記得自己不是 IT provider,兩者必須要變成 Business partner 才可能做好韌性,而這是現代 CIO 和 CISO 要面對的課題。
李維斌說面對數位轉型,CIO 和 CISO 都要改變自己的心態,從執行(perform)進化到改造(transform),才能看到更高層次的面向,才能想到更具價值的資安或網路安全解決方案。
Cybersecurity 是供應鏈共同的責任與風險,最弱的環節大家需共同承擔,供應鏈不只「鏈」,更是「生態」,當市場將 Cyber resilience(網路韌性)視為競爭優勢,所有的組織將被定位在「安全」或者「不安全」,不具備韌性的組織就不會包含在供應鏈之中。如何在一個動態生態系中做好資安,困難度變得更高,李維斌強調:「韌性是一種能力,是一個綜合的表現,而不只是一個事件的結果。」
要做 Cybersecurity 李維斌提到兩個重要資安的基本框架:NIST CSF 與 ISO 27001和 ISO 27014,集合眾人經驗的資安框架能幫助我們抓住重點,避免因為經驗不足或業務角度不同而有所遺漏,但細節仍需要自己努力,經過驗證的框架也是向客戶證明負責態度的作法,也提醒認知框架不是目的,而是讓組織有效達成目的一種手段。
其中特別分享他為 NIST CSF 五大功能區塊所增加的兩個關節點,從「偵測」到「回應」之間一定有什麼事件發生了,要努力去縮短 dwell time;「復原」則會與 BCP 有關係,重點不是解決結案就好,而是有沒有因此學到經驗增加韌性,讓每次事件的處理時間可以越來越短。每個框架都有優點,可以構成信任的基礎,選擇最匹配組織的框架有耐心讓它逐步成熟。
目前政府已將資安能力放入供應商採購需求書裡,各界需提升 Cyber resilience 概念,對駭客來說最有價值偷取的是整個業務流程,不應該只是單純看系統漏洞。「絕對安全是絕對不可能」李維斌總結呼籲所有利害關係人要共同努力促進 Cybersecurity 與 Resilience:「有韌性才能適應未來的不確定性」提高安全、保護隱私、建立信任是成功永續的關鍵。
