圓桌會議 (Round Table) 桌長分享 - 翁浩正, 劉榮太, 蔡福隆

Loading embed note

從這開始

CISO

  • 問題一:
    上市櫃公司設置資安專責單位條例

  • 政府對業者的期待

    • 資安量能更高
      • 對不同產業提供各種IT與OT檢測、稽核之能量(能力與數量),數量上要能涵蓋1700家上市公司。
      • 若數量不足應思考更scalable的檢測稽核方式 ex: 人工 -> 智慧化
    • 情資分析

      資訊戰敵暗我明,要透過情資中心整合資源,一同聯防

      • 擁有強大的情資平台,以提供情資協防政府與各家資安夥伴聯防,透過全球資源,提供在地服務。

      難點:資安的概念與文化

    • 持續運作
      • 電力:電網安全是根本,可以考慮在極端情況下維持最低限度關鍵基礎設施運作的方式。
      • 電信通訊: 建議補助各大電信業者建立部分基站獨立發電設備及對外連線能力(如低軌衛星),提高資安韌性
    • 創造推動資安需求
      • 媒合國內資安需求方跟資安業者,如建立媒合平台。
      • 協助政府推動資安管理法

      推動資安管理法是為了保護大家,而非讓廠商難以困難重重

  • 民間對政府期待

    • 1.讓民間識別資安問題的嚴重性。

      • 期待政府透過公協會等組織,有效提升業主、高階主管得風險管理意識,讓中小企業的資訊/資安主管或的較佳的支援
      • 資安很重要,但大家目前對資安仍有很錯誤的認知,譬如整個社會對於資安事件的受害者是加以撻伐的。不管是從政府端或企業高層對資安的看法也是錯誤的,編列了預算,做完不能有資安事件。這種資安沒人敢做,更不要講民眾。
      • 計畫是一年把兩件事做好

      容易有出現資安問題,是網頁沒寫好的迷思,導致刻板印象,企業因此不願意公開資安問題,讓情資收集更加困難

    • 2.提升資安能量

      • 估算檢測與稽核量能,進行人才培育。
      • 培訓檢測員跟稽核人員。
      • 對稽核報告進行稽核,以提升稽核品質。
    • 3.建構創新的產業環境

      • 更積極的編列預算、更彈性的使用。
      • 資安預算不應該是計畫預算的一部分。
      • 鼓勵創新與實驗,讓中小企業及新創組織有機會成功

      臺灣新創公司還是偏少,學生顧慮很多(人脈、資金),但因為嘗試的人少,更應該創業

    • 4.信賴及權衡資安發展

      • 以更開放的角度,建立數位信任環境,包括法令應更積極開放。
    • 5.資安情資分享,強化資安事件資訊分享及通報方式

    如果能共享資訊,有助於產業資安發展,事半功倍

    • 6.提升關鍵基礎的資安韌性
      • CISO認為要提升關鍵基礎的資安韌性,透過提升民間及政府意識,建立生態鏈,透過深度交流,縮短雙方認知落差
  • 問題二:

    • 策略

      • 1.資安長/企業要有獨到觀點
        • 瞭解企業自己面臨的威脅是什麼、能解的是什麼?
      • 2.缺乏策略
        • 不知道從何做起When、What to do、How to do

        發生資安問題,重要的是當下的應變與處理

      • 3.人才資源不足
        • 管理類議題,先透過制度識別現況跟認知落差,建立有效評測方式後,擬定策略,才去找適合的人才。

        錯誤的做法是以現行人力去評估做法

      • 4.權責問題
        • 資安長跟資訊長職責區分要劃分清楚,並且階段性的達成

        該如何合作與區分,避免造成對立

    • 管理

      • 1.透過Gap Analysis,協助導入資安制度:
        • 確保認屍跟期望上的差距,聚焦企業認知。
        • 該做卻沒做好的事、跟接下來要做的事。
      • 2.無法建立有效的資安防護評估方法,所以不能制定、落實並持續修正資安策略。
      • 3.現行稽核制度有改善的空間,包含稽核的方式、結果的追蹤、涵蓋率等等
        • 面對稽核的態度=面對資安的態度
    • 技術

      • 1.新型態的攻擊方式:
        • 企業應該思考的阻斷攻擊鍊(憶及盤墊現在缺什麼防禦機制、程序、流程),而不是只在意最新的攻擊,並且透過情資分享來縮短資訊落差
      • 2.大家所在意的技術PPT
        • 身份認證防護技術(多因子認證MFA、無密碼認證)
        • 零信任架構、漏洞管理機制(VMS)、端點的可視力及防護力(EDR/MDR)
        • 資安人員的意識訓練、技術訓練、資安事件應變流程
  • 問題三
    各位建議以什麼方式或框架來合作培育更多的中高階人才?例如Nice Framework

    • 組織的角度

      • 政府推動資安時,可以加更多跨部會、中央及地方的交流。
      • 各產業的領頭羊可以透過公協會建立資安長交流機制。不同企業對於CIA在意的項目及面對的威脅可能大不相同。
      • 上述產業與產業的交流作為政府整體策略的考量
    • 人才培育

      • 選: 調整遴選方式,著重在對資安能力得需求
      • 用:必須明確該職務的資安職能,把人放對位置。也要更有彈性的職位規劃。
        • 1.跨機關、跨企業交流與分享,也可用G-ISAC、F-ISAC作法分享案例情資

        不能盲目考證照,要確認效用與合適度

        • 2.中高階主管的職務職責課程不盡相同,不建議盲目參考
        • 3.除高階人才外,中低階人才更是企業急需
        • 人才為何留不住?資安長平均任期為何才兩年?
        • 資安長的職涯與績效怎麼核定?若只有扛責任跟負擔、而沒有前瞻與永續,更消磨熱情

        做出更前瞻的規劃,探討公司如何領先其他公司,讓資安長能保持熱情

Takeaways

  • 提升資安韌性
    • 政府與民間從縮短雙方認知落差,堤身全名資安意識,進而推動分享合作機制,提升關鍵基礎得資安韌性,建構更務實的安全防護策略
  • 環境共創
    • 政府與民間從法令政策與資安事件分享推動,共創加強資安意識與需求投資的環境。
  • 人才永續
    • 從策略管理技術語法尊為核心,發展攻守兼具的資安人才永續培育計畫。
  • 機制優化
    • 創造產官學研究合作計畫,鼓勵政府與企業開放場域實證資安機制並持續優化

做資安是不是希望大家踩剎車,而是希望大家踩油門
(my opinion: 並不希望因為資安問題畏首畏尾,而是因為知道會有資安問題,而更要向前衝,不論是情資收集分析,或是發展都應該盡可能地做 )
Q: 資安新創是建議一人公司還是希望變成大公司
A: 公司規模取決於創業團隊想做什麼,如果公司目標很大,那規模就不可避免的會變很大,但如果是以顧問、講師為目標,那公司就不必要變成很大規模,由創業類型來決定公司規模(也要看市場)

智慧製造

  • 問題:
    • OT SOC 應該單獨存在或是和 IT SOC 合併?
    • OT SOC 應該與今天 IT SOC 有什麼不同?或新增什麼樣的能力?
    • 可以自身的資源實作出 OT SOC ,或是希望能外包?或是分工?以及其他相關的看法

當OT遇到資安危害,不再只是網路危害,還可能實質的對人造成傷害
對IT有效果,因為工業4.0,對OT也會有效果,可能會有更多更新類型的OT攻擊

金融

tags: HITCON2022,HITCON
Select a repo