安碁資訊總經理吳乙南：工業4.0及物聯網 帶來資安產業新藍海

台積電8月3日因人為疏失而遭受電腦病毒「WannaCry」攻擊，影響電腦系統與廠房機台，造成北、中、南科廠區停工，4天後恢復正常，預估損失約52億元，台積電危機處理迅速確實，災情並未擴大。然台積電為全球半導體代工龍頭，因為WannaCry就險些引發全球科技產業斷線危機，讓人嚇出冷汗，也凸顯製造業資安重要性。數位經濟時代已來臨，不僅個人、企業或政府，都同樣面對來自各種各樣的資安威脅，不僅企業，政府立法態度更為積極。近期歐盟實施的GDPR是保護個人在數位時代的隱私權，而台灣預計2019年元旦上路的資通安全管理法，是為了保護政府及關鍵基礎設施(critical infrastructure)在數位時代的基本安全。宏碁集團旗下的安碁資訊總經理吳乙南指出，各國政府在網路資安的立法，正在加快腳步，不僅意味各界對網路資安的重視提升，更代表政府機關或企業，在面對網路資訊安全議題要更積極與謹慎，以免受罰。以GDPR來說，若企業未能遵守GDPR，最高可被處全球營業額4%的罰款。除了各種新增法令，網路資訊安全也從過去的資訊設備，擴展至工業設備，進一步到各式各樣的物聯網設備，也就是從IT到OT再到IoT。過去主要在IT領域的安碁，也在擴展至OT及IoT，吳乙南指出，2年前安碁資訊開始接觸到工業控制，發現工業控制業界對網路資安相對陌生，這也意味著機會來了。安碁資訊於2000年創立，主要提供企業專業的電子化資訊管理服務，除已整合機房、系統、網路、資安之維運管理能力外，隨著雲端服務隨取即用的需求及大數據各種應用的崛起，也持續自行開發了各種服務解決方案，為台灣最大的資訊安全服務公司。2017年安碁資訊將機房維運業務切割，也於2018年順利登錄興櫃。有別於市場熟悉的資安軟體大廠趨勢科技或賽門鐵克(Symantec)，安碁資訊的角色，更像平台服務商，其建構完整的SOC(資安營運平台；Security Operation Center)與技術，發展13年來，已成為台灣營運能量最大、客戶數最多、事件涵蓋範圍最廣、事件處理經驗最豐富的SOC服務廠商，其也是通過ISO 17025實驗室認證，台灣唯一SOC自建數位鑑識中心的廠商。安碁資訊台灣客戶數達150~160位，除了政府機關，半數為國內企業，尤其以金融業居多。因應全球資安環境如同IT產業，變化快速，駭客技術日新月異，安碁也從SOC平台，結合大數據資料分析與機器學習，成立AI平台(ATHENA)，讓SOC平台可自行精進，如今準確度已經提高至99.5%，朝近乎100%持續邁進中。隨著資安從過去IT設備，轉進至工業設備，以及萬物聯網的物聯網世界，安碁已做好準備，迎接新時代來臨，並積極朝海外市場發展，包括泰國、馬來西亞等市場，其中泰國有機會最早開花結果，隨著資料蒐集範圍擴大，將能形成更完整的資安防護。以下是安碁總經理吳乙南的專訪摘要：問：資安一直都是科技業關注議題，安碁看到的趨勢為何？答：首先，全球對資安議題的重視程度，有增無減。根據2018年6月一份最新的報告指出，全球資安產業的產值，從2016~2021年，每年複合成長率達10%，其中資安管理服務(Managed Security Services；MMS)持續成長，2018年已經達到180億美元(約合新台幣5,613.3億元)。台灣也同樣看到資安的重要性。政府在2017年12月11日，就由蔡英文總統提出3大國家級資安目標，分別是：建立資安機制 、打造資安團隊以及推動國防資安技術自主。依據行政院國家資通安全發展方案，2020年資安產值達550億元，而在2016年的產值為344億元，顯示國內資安的龐大需求。然過去10幾年，科技業都在談IT資安，大概是2年前，我們接觸到工業控制，也就是所謂OT(Operation Technology)領域，發現新機會來了，再加上物聯網，未來的資安，不再只侷限在IT設備，而會進一步來到工業控制與物聯網的新時代。工業4.0從2012年開始成為議題，特色是自動化與客製化，工業4.0的產能不大，但反應速度快，且客製範圍擴大，都必須透過網路才能達到，比如之前鴻海董事長郭台銘曾經提到過的關燈工廠，就要有很好的自動化，一旦有問題，可以即時解決，這都是工業設備必須轉到IT及IP網路化的動力。然當工業設備轉到IT化，不僅在設備轉換、人員思維及後續我們看到的資安議題，都會完全不同。以我們熟悉的資安來看，所謂的電腦駭客都是IT背景，只要工業設備走到IT化，就會有被攻擊的機會。以國外的案例來看，48%英國製造商曾遭網路攻擊，半數造成財損或業務損失，卻有45%沒有後續處理的適當工具。以我們接觸工業控制或自動化廠商的經驗來看，工業控制業者對資安意識仍有欠缺。對IT業而言，網路、伺服器，是日常工作狀態，然對工控來說，一般是不太常談網路，對資訊安全的觀念也相對薄弱，卻因為工業4.0的趨勢推動，迫不得以必須連上網路，該產業仍需要時間習慣與學習，此也意味後續的潛在商機。此外，可靠性與成本，是工業控制最重要的2項關鍵。若生產線開始運作後，是7x24小時不間斷的，以安碁擅長的滲透演練攻防，該如何進行？萬一攻防結果，導致產線停擺，材料浪費是成本，原訂的產能規劃又該如何達成？安碁採取的方式是模擬測試，然各種工控都有不同需求與「眉角」，需要與相關工控夥伴合作進行。問：除了工控設備之外，物聯網也會是商機？答：如果單獨看物聯網設備，從晶片設計以及設備商對每個資料都會加密的角度來說，是安全的，然只要連上網路到系統，弱點就出來了，系統是關鍵，也是最容易被攻擊的入口。5G被認為是帶動物聯網發展的主要動能，而5G帶來的大數據傳輸，伴隨而來地必定是更多的駭客攻擊，對於安碁而言，也代表更多的商機。我們目前在物聯網的應用，是以現有的資安技術發展為主軸，從原有的IT管理，延伸到廠房各種自動化的控制系統應用上，不論是智慧設備、環境感測裝置或各式監控裝置的使用，如何確保裝置是否在授權許可存取的威脅是營運安全的關鍵；或是工業連網裝置在傳送大量的資料時，避免資料傳輸遭攔截或網路攻擊。問：全球法令的修改，也成為資安的推動力量，您看所帶來的影響有哪些？答：立法院2018年5月通過「資通安全管理法」，行政院在9月底推出6項子法，期望在2019年元旦實施，此為我國在資安法制化的重要里程碑。2018年5月25日，歐盟的個人資料保護規範(General Data Protection Regulation；GDPR)上路，出發點迥異，然同樣意味著全球對資安議題的重視正在升溫。GDPR號稱全球最嚴格的個人資料保護法，對企業的影響也最大，根據GDPR Article 32規定，企業必須有能力在發生突發事件時，有能力且及時恢復個人資料的存取，確保關鍵資料的可使用性(Availability)、保密性(Confidentiality)、完整性(Integrity)及隱私(Privacy)。然多數企業面對此法令規定，都感到不知所措且憂心忡忡。根據Veritas 2017針對GDPR所做的調查，47%企業擔心無法在GDPR生效前，滿足法遵要求，平均每家企業在2018預計將投入130萬歐元進行改善，且重要的是，即使投入高額經費改善，也難保不會誤觸該法令，尤其是GDPR對個人資料的被遺忘權行使。所謂被遺忘權，最早是在歐洲一名西班牙男子，向法院要求當地報章雜誌針對一篇他16年前陷入財政危機，無法繳稅而被迫拍賣旗下物業的新聞，因為即使債務早已還清，然在Google上搜尋，仍可看到相關內容，該名男子認為此搜尋結果影響到他的名譽。歐盟法院在2014年5月判定Google敗訴，也確認歐洲公民擁有被遺忘權，而在GDPR當中，自然也納入被遺忘權的相關規定，包括：除了姓名、身分證或護照等證件號碼、住址、電話號碼外，能直接或間接識別個人「敏感性」資訊的資料，若未取得當事人授權，企業不得使用或處理等等。這對企業是最大挑戰，如何讓消費者可以一鍵按下去，所有資料都消失，從資料蒐集、使用、傳輸、利用到銷毀，這與App設計相關，牽涉範圍很廣，且GDPR罰責很重。企業首先要作個資盤點，針對消費者的個資保護，進行宣告，而安碁已經取得個人資訊管理標準BS10012，可以幫客戶作此認證的顧問服務。至於台灣2018年通過的資通安全管理法，行政院已經訂立子法，等立法院通過後實施，首當其衝的就是掌管CI(Critical Infrastructure)單位，總共有8大領域，包含：能源、水、通訊、交通、金融、醫療及救援、中央與地方、高科技。安碁共取得能源、水及交通等3項標案。問：CI的防護必要性為何？答：我最愛舉的例子，就是布魯斯威利演的《終極警探4.0》，片中電腦駭客攻擊的對象，就是CI，包括公共交通系統及發電廠。事實上，這不是電影情節，而是真實案例。在國外曾經發生的案例包括：美國水廠控制系統遭駭；烏克蘭電網遭駭；美國Dallas捷運系統遭入侵以及越南航空站遭駭等等，都造成民生重大衝擊。台灣在電子化政府的前進腳步，在全球是數一數二，然兩岸的特殊狀況，又讓台灣經常處於高資安危險地區。根據國際再保險調查報告，台灣資安系統在亞洲國家是被列入「中高危險等級」，原因是兩岸特殊關係，常被對岸駭客列入攻擊的對象。趨勢科技日前發表報告，近6個月，透過家用路由器所發生的網路入侵，全球總共超過180萬次，台灣在全球各國當中，排名第9；至於電腦病毒感染高感染率國家，台灣僅次於大陸，排名第二，其次為土耳其及哥倫比亞。在此情況下，行政院曾在2008年實施ISAC(Information Sharing and Analysis Center)，安碁資訊就曾經參與，2017年行政院資安處重新啟動ISAC。此外，政府也在各縣市，推「區域聯防」，安碁取得台北市、花蓮縣、金門縣、連江縣、桃園市、新竹縣市、苗栗縣，共8個城市的相關專案。此外，金管會也於2017年成立金融資安資訊分享與分析中心(F-ISAC)，總共協同台灣超過200多家的銀行、保險及證券期貨等業者，共同打造金融圈的資安情資聯防網路。若有任何資安事件，就可透過平台，讓所有會員共享資訊，讓情資可以更早到位，安碁資訊也有參與其中。所謂的ISAC，首先必須建立平台，平台開發出來後，其中有2項任務：一個是建立SOC，另一個是建立CSIRT(資安緊急應變小組)。SOC平常進行監控，一旦有資安事件，CERT要有人員配置，根據不同產業，也有不同的平台設計，尤其F-ISAC最複雜。透過ISAC，安碁也開始接觸IoT資安領域，比如IP Camera、印表機及門禁系統，這3項被列為物聯網的檢測對象，需要進行滲透測試，比如在台北市路口，共配置超過1萬個CCTV，後面蒐集的影像資料，牽涉到市民個人資料蒐集，必須保護，以免出現個資洩漏等問題。問：安碁看待未來資安議題，有何看法與因應？答：企業走到雲端的比率越來越高，仰賴資安委外服務商的比重也會提高，不論是微軟(Microsoft)的Azure或亞馬遜(Amazon)的AWS，都是提供五星級的廚房，裡面有最好的鍋具、爐火與食材，然他們不會幫忙炒菜，你要自行下廚，因此最後還是需要我們這些服務商。此外，從IT到OT到IoT，資料流變大，數據越來越多，數據本身是一個金礦，不僅會引發更多的資安事件，對資安防護企業來說，也是珍貴資訊，從中可以發現駭客的行為模式，因而透過人工智慧(AI)分析，將是大勢所趨，安碁以多年累積的SOC為基礎，整合大數據，導入機器學習、打造智慧平台模式。安碁的「Intelligent SOC威脅情報AI服務平台(ATHENA)」已經發展第2年。ATHENA會儲存Log(網路使用行為)大數據，進行分析，透過資安專家作驗證，透過演算法分析結果。安碁已經取得3項演算法專利，目前進行內部測試，準確率在99.5%，後續將持續提升至接近100%，並且在做AI介面開發。SOC針對Log的紀錄偵測，一旦被觸發，就會發出通報，但需要時間累積，比如密碼3次驗證不過，就需要重新申請，通常都規定在5分鐘以內。若有心人士，每週來測試1次，時間拉長的狀況下，就很難透過傳統的偵測系統來發現異常，必須是大範圍、長週期的監測。不同企業與不同市場的狀況迥異，需要靠時間蒐集，幫客戶建立SOC後，經過時間調教，資料將越來越精準，若能把整個區域串起來，亞太區、美洲區、歐洲區的資料量與規則就更有價值，後續該情報更有價值，也可發展出新的商業模式。道高一尺、魔高一丈，資安的攻擊與防護兩邊，都同時在精進，以防護來說，除了平常給客戶的資安健診，還有滲透測試、弱點掃描、社交工程(釣魚郵件的警覺性)測試等，現在也增加紅隊演練(red team assessment)，給予類似零時差的攻擊，讓資安的漏洞顯示出來。所謂紅隊演練與以往的滲透測試不同處，在於紅隊演練比較偏向對客戶是全面性檢測，而滲透測試是以單點的方式確認是否有資安問題。雖然客戶防護很多都是銅牆鐵壁，然銅牆鐵壁畢竟無法佈滿整個防禦線，例如要士兵搶灘上岸，勢必會找在漫長的海岸線中防禦最薄弱的地方開始搶灘，紅隊演練也是如此。紅隊演練會模擬駭客以客戶所有範圍為單位做攻擊測試，可找出客戶長久以來未發現的薄弱點，因客戶大多都有做滲透測試，然滲透測試目標都是客戶給的重兵防護的目標，如果是紅隊演練，客戶不用特別給目標，只需要一個網域，紅隊演練將會去找出該客戶網域下所有目標開始攻擊測試，找出客戶沒發現的盲點。問：安碁除了台灣市場外，海外拓展計畫為何？答：泰國是安碁海外布局的始點，除了宏碁泰國分公司在教育市場及與當地政府機構關係深厚，2016年安碁在當地推出Safe 3.0巨量日誌資料管理及Cloud Smart Portal，也在當地打開知名度。泰國之後，安碁也計劃切入印尼及馬來西亞市場。前陣子安碁去泰國進行招商活動，與當地30家SI(系統整合)業者對談，部分業者表達高度興趣，過去這些業者銷售宏碁的硬體產品，也希望能夠有更多附加價值，透過當地的SI，安碁有機會與SI廠商一起協助當地企業建立SOC，或提供顧問服務。不過從推廣到在當地落地開始服務，需要1~2年時間，才能穩紮穩打。初期先以泰國作為拓展國際業務的基石，累積成功經驗後，不論是以代理銷售、顧問服務，還是技術授權等各種合作形式，都可以快速的複製到其他國家。除了泰國，10月下旬也去了馬來西亞，後續包括印尼、菲律賓等地，都會是開拓的機會，在整個亞洲市場來看，除了日本及大陸之外，都會是安碁潛在市場。日本市場因為資安意識較成熟，暫不列入擴展的目標市場當中，至於大陸部分，由於網路資安屬於公安領域，相對敏感，也不會是安碁海外發展的目標市場。問：未來營運展望？答：安碁現階段政府相關機構及企業各佔5成營收比重，然8月台積電的事件，開啟了新契機，目前雖然還沒看到企業接單量提高，卻已經讓不少企業警覺到工業設備IT化的資安部署重要性，未來從IT到工業到物聯網，機會將持續放大。有些企業會有誤解：我有買防火牆、IDS(入侵檢測系統)，也買了新的APT(先進的持續性攻擊)，應該就已足夠。然這些設備都有了，如果沒有監控，沒有用SOC把資料串起來，單一的防護設備不夠抵禦攻擊，必須要把資料關聯起來，才能看到事情真正的樣貌。安碁在台灣擁有150~160位客戶，擁有相當多的資料可以比對，一旦其中1家客戶出現警訊，可以全面通知其他客戶，達到共同聯防的目的，也是規模到一定程度的優勢。目前安碁已有120位員工，7成與技術相關，由於市場機會很多，後續將會持續擴編。