撰文 / 數聯資安編輯部

過去會編列資安預算的單位,除了政府機構、金融單位之外，就屬高科技製造業需因應國外客戶要求而建置資安防護控制措施。如今金管會已宣布將修法要求上市櫃公司必須在公司年報上清楚敘明資安管理方案、投入資源等資訊，並規定應揭露重大資安事件與資安風險對公司財務業務影響及因應措施。相信在法規約束力以及駭客瞄準供應鏈攻擊等因素影響之下，將帶動不只上市櫃公司投入資安，包括其整個供應鏈相關業者都勢必得開始動起來！

一家受駭 供應鏈上下游都需一起動起來

近兩年來許多台灣科技製造業大廠陸續受到駭客入侵及勒索，前陣子先是宏碁印度分公司遭入侵，沒幾日台灣總部的伺服器也傳出被駭，且有疑似員工個資的資料被外洩到駭客論壇上。一旦犯罪集團取得員工部門職稱、email等資料，透過社交工程手法與釣魚郵件對往來的合作企業發動變臉詐騙攻擊，將有極高的可能詐騙成功。
 
因此不能只以個別受害企業角度來看資安事件而應以整個供應鏈角度，一旦企業受害，其上下游相關往來合作企業與客戶都需有所警覺，才能避免受到波及。美國政府在連續多起針對政府機構與企業的網路攻擊事件後，今年5月總統拜登簽署一項「改善國家網路安全」的行政命令，內容包括建構更現代化與嚴格的聯邦政府網路安全標準，及制定標準強化軟體供應鏈安全等。以避免聯邦政府往來的軟體外包商或資服業者受駭，進而利用其IT系統產品作為入侵攻擊聯邦政府的跳板。

資安防護解決方案百百種從何下手？
跟著資安教練快速提升防駭武力值

正是在這樣的趨勢下，金管會修法要求上市櫃公司必須揭露重大資安事件與資安風險的訊息，讓供應鏈與上下游往來企業都能掌握資安事件並提前因應，同時企業也須闡明具體資安作為。
 
每家企業隨著規模、產業性質不同，有不同的資安防護需求，例如經營電商的企業需要特別注重服務營運不中斷，有研發或客戶資料的需重視機密資料保護，再加上企業既有的資安防護架構也不同，因此要提升資安防護力需考量各方條件來整體規劃。正如同都是想要健身，有些人以減重為目的，另一些則以雕塑肌肉為訴求，如果想在短時間內達成健身目的，找健身教練規劃專屬的健身方案是最快速有效的方法。

3S資安訂閱服務如何扮演企業資安教練的角色，協助企業有效提升資安防禦的核心肌群跟強健體質遠離勒索軟體威脅？閱讀完整文章