協會活動花絮

資安SIG初探勒索軟體 搭建交流平台

2022/04/21 交流活動

        近期資安變成企業韌性、不中斷生產的關鍵議題,也引起政府相當的重視,所以陸續有些政策輔導、及法規規範,為了建立PCB產業的資安能力,TPCA自去年成立資安SIG,定期交流相關議題,這次於4月20日舉行本年度的第一次交流會。活動請到資策會資安所的專家魏得恩主任、蕭榮興副主任分享「勒索軟體的防護與應變」、「資安長好幫手」的專題,另由台灣韋萊韜悅的吳明璋顧問介紹SEMI所制定的「半導體設備資安標準E187」。

      近期不少企業遭受到勒索軟體的攻擊,魏主任提醒付款不見得能解決問題,後續仍可能面對「雙重勒索」的困境,像是重覆勒索或將企業機密做拍賣,例如之前廣達遇駭,即便有完整的備援措施而拒絕付贖金,但駭客仍將其客戶的設計圖公布於網路。魏主任表示針對企業防駭,需要做事前防備、事中控制、事後恢復與減損的規劃,技術層面不是問題,因為攻擊手法不會無中生有,可透過分析判斷從已知偵測未知,重要的是組織行為與建置,因為駭客是與時間賽跑的行業,墊高它的攻擊成本是被動防禦的根本之道。

資安所蕭副主任提到:金管會在2021年底要求國內資本額破100億元、前50大市值的上市櫃公司都需要設立資安長,並要求上市櫃公司依據營運的規模程度,配置一定比例的資安人員,資安長雖是負責督導的管理職,但可能原本不具相關的背景,因此初期會有職務上的磨合,但資策有提供一連串的解決方案,可協助產業做資安能力的建構。

      韋萊韜悅的吳明璋顧問說到:2018年台積電爆發機台中毒事件損失28億元,因此催生首個半導體晶圓設備資安標準「SEMI E187 - Specification for Cybersecurity of Fab Equipment」,其核心概念除了提供機台無毒證明外,也須從源頭的設計就開始以資安做思考,現在屬於框架階段,後續會有更細部的指引文件誕生以協助廠商的導入。

      在豐富的分享之後,交流座談的討論也相當踴躍,產業針對組織建置,勒索贖金支付與否、資安是稽核單位還是業務單位做出討論。未來TPCA將定期舉辦資安SIG交流活動,期待各方的參與,強化彼此的資訊安全能力。