# 圓桌會議 (Round Table) 桌長分享 - 翁浩正, 劉榮太, 蔡福隆 {%hackmd @HITCON/r1cl60dRc %} > 從這開始 ### CISO - 問題一： 上市櫃公司設置資安專責單位條例 - 政府對業者的期待 - 資安量能更高 - 對不同產業提供各種IT與OT檢測、稽核之能量(能力與數量)，數量上要能涵蓋1700家上市公司。 - 若數量不足應思考更scalable的檢測稽核方式 ex: 人工 -> 智慧化 - 情資分析 > 資訊戰敵暗我明，要透過情資中心整合資源，一同聯防 - 擁有強大的情資平台，以提供情資協防政府與各家資安夥伴聯防，透過全球資源，提供在地服務。 >難點:資安的概念與文化 - 持續運作 - 電力：電網安全是根本，可以考慮在極端情況下維持最低限度關鍵基礎設施運作的方式。 - 電信通訊: 建議補助各大電信業者建立部分基站獨立發電設備及對外連線能力(如低軌衛星)，提高資安韌性 - 創造推動資安需求 - 媒合國內資安需求方跟資安業者，如建立媒合平台。 - 協助政府推動資安管理法 > 推動資安管理法是為了保護大家，而非讓廠商難以困難重重 - 民間對政府期待 - 1.讓民間識別資安問題的嚴重性。 - 期待政府透過公協會等組織，有效提升業主、高階主管得風險管理意識，讓中小企業的資訊/資安主管或的較佳的支援 - 資安很重要，但大家目前對資安仍有很錯誤的認知，譬如整個社會對於資安事件的受害者是加以撻伐的。不管是從政府端或企業高層對資安的看法也是錯誤的，編列了預算，做完不能有資安事件。這種資安沒人敢做，更不要講民眾。 - 計畫是一年把兩件事做好..... > 容易有出現資安問題，是網頁沒寫好的迷思，導致刻板印象，企業因此不願意公開資安問題，讓情資收集更加困難 - 2.提升資安能量 - 估算檢測與稽核量能，進行人才培育。 - 培訓檢測員跟稽核人員。 - 對稽核報告進行稽核，以提升稽核品質。 - 3.建構創新的產業環境 - 更積極的編列預算、更彈性的使用。 - 資安預算不應該是計畫預算的一部分。 - 鼓勵創新與實驗，讓中小企業及新創組織有機會成功 > 臺灣新創公司還是偏少，學生顧慮很多(人脈、資金)，但因為嘗試的人少，更應該創業 - 4.信賴及權衡資安發展 - 以更開放的角度，建立數位信任環境，包括法令應更積極開放。 - 5.資安情資分享，強化資安事件資訊分享及通報方式 > 如果能共享資訊，有助於產業資安發展，事半功倍 - 6.提升關鍵基礎的資安韌性 - CISO認為要提升關鍵基礎的資安韌性，透過提升民間及政府意識，建立生態鏈，透過深度交流，縮短雙方認知落差....... - 問題二: - 策略 - 1.資安長/企業要有獨到觀點 - 瞭解企業自己面臨的威脅是什麼、能解的是什麼？ - 2.缺乏策略 - 不知道從何做起When、What to do、How to do > 發生資安問題，重要的是當下的應變與處理 - 3.人才資源不足 - 管理類議題，先透過制度識別現況跟認知落差，建立有效評測方式後，擬定策略，才去找適合的人才。 > 錯誤的做法是以現行人力去評估做法 - 4.權責問題 - 資安長跟資訊長職責區分要劃分清楚，並且階段性的達成 > 該如何合作與區分，避免造成對立 - 管理 - 1.透過Gap Analysis，協助導入資安制度： - 確保認屍跟期望上的差距，聚焦企業認知。 - 該做卻沒做好的事、跟接下來要做的事。 - 2.無法建立有效的資安防護評估方法，所以不能制定、落實並持續修正資安策略。 - 3.現行稽核制度有改善的空間，包含稽核的方式、結果的追蹤、涵蓋率等等 - 面對稽核的態度=面對資安的態度 - 技術 - 1.新型態的攻擊方式： - 企業應該思考的阻斷攻擊鍊(憶及盤墊現在缺什麼防禦機制、程序、流程)，而不是只在意最新的攻擊，並且透過情資分享來縮短資訊落差 - 2.大家所在意的技術PPT - 身份認證防護技術(多因子認證MFA、無密碼認證) - 零信任架構、漏洞管理機制(VMS)、端點的可視力及防護力(EDR/MDR) - 資安人員的意識訓練、技術訓練、資安事件應變流程 - 問題三 各位建議以什麼方式或框架來合作培育更多的中高階人才？例如Nice Framework - 組織的角度 - 政府推動資安時，可以加更多跨部會、中央及地方的交流。 - 各產業的領頭羊可以透過公協會建立資安長交流機制。不同企業對於CIA在意的項目及面對的威脅可能大不相同。 - 上述產業與產業的交流作為政府整體策略的考量... - 人才培育 - 選: 調整遴選方式，著重在對資安能力得需求 - 用：必須明確該職務的資安職能，把人放對位置。也要更有彈性的職位規劃。 - 育 - 1.跨機關、跨企業交流與分享，也可用G-ISAC、F-ISAC作法分享案例情資 > 不能盲目考證照，要確認效用與合適度 - 2.中高階主管的職務職責課程不盡相同，不建議盲目參考 - 3.除高階人才外，中低階人才更是企業急需 - 留 - 人才為何留不住？資安長平均任期為何才兩年？ - 資安長的職涯與績效怎麼核定？若只有扛責任跟負擔、而沒有前瞻與永續，更消磨熱情 > 做出更前瞻的規劃，探討公司如何領先其他公司，讓資安長能保持熱情 Takeaways - 提升資安韌性 - 政府與民間從縮短雙方認知落差，堤身全名資安意識，進而推動分享合作機制，提升關鍵基礎得資安韌性，建構更務實的安全防護策略 - 環境共創 - 政府與民間從法令政策與資安事件分享推動，共創加強資安意識與需求投資的環境。 - 人才永續 - 從策略管理技術語法尊為核心，發展攻守兼具的資安人才永續培育計畫。 - 機制優化 - 創造產官學研究合作計畫，鼓勵政府與企業開放場域實證資安機制並持續優化 > 做資安是不是希望大家踩剎車，而是希望大家踩油門 > (my opinion: 並不希望因為資安問題畏首畏尾，而是因為知道會有資安問題，而更要向前衝，不論是情資收集分析，或是發展都應該盡可能地做 ) > Q: 資安新創是建議一人公司還是希望變成大公司 > A: 公司規模取決於創業團隊想做什麼，如果公司目標很大，那規模就不可避免的會變很大，但如果是以顧問、講師為目標，那公司就不必要變成很大規模，由創業類型來決定公司規模(也要看市場) ### 智慧製造 - 問題: - OT SOC 應該單獨存在或是和 IT SOC 合併？ - OT SOC 應該與今天 IT SOC 有什麼不同？或新增什麼樣的能力？ - 可以自身的資源實作出 OT SOC ，或是希望能外包？或是分工？以及其他相關的看法 > 當OT遇到資安危害，不再只是網路危害，還可能實質的對人造成傷害 > 對IT有效果，因為工業4.0，對OT也會有效果，可能會有更多更新類型的OT攻擊 ### 金融 ###### tags: `HITCON2022`,`HITCON`