:::最新消息
第94期 PIE 立坊電子報:教師近況 — 陳重光副教授:供應鏈資安共責與TISAX
發佈日期:2022-06-15 類別:大學部 發佈單位:系辦
臺灣扮演許多產業OEM/ODM的重要供應鏈基地,近年面對中美貿易衝突、俄烏戰爭的後疫情時代等各項因素,臺灣扮演供應鏈的角色日益重要,供應鏈廠商也紛紛展開數位轉型以強化競爭優勢,但其企業資安的腳步有跟上嗎? 本期電子報邀請會計系陳重光副教授為我們分享供應鏈資安共責與TISAX!
從以上數據,不得不對臺灣供應鏈的網路資安,無論從管理面或科技技術面,均應投以更密切的關注。
國立雲林科技大學位處雲林縣,鄰近許多工業區,工業區廠商有眾多扮演不同供應鏈的廠商。管理學院經營管理中心與創逸科技服務有限公司以及竣盟科技股份有限公司共組團隊,針對汽車零組件供應鏈廠商,從策略面、管理面以及技術支援層面,協助廠商面對有關該產業的供應鏈資安共責議題,以下做簡單說明。
供應鏈資安共責與TISAX
文/陳重光副教授
工業技術研究院依據企業資安發展程度將臺灣企業分成三類[1]:
- 資安入門生:缺乏基本資通安全流程,普通攻擊也容易成功,多數製造業均屬這個等級,約占95%;
- 資安中等生:具備資安標準作業流程,符合大部分國際資安標準(例如ISO27001等),但仍難抵擋高階持續性滲透駭客攻擊(APT)的中堅企業,占比低於5%;
- 資安資優生:導入高度資安自動化方案且強化安全開發與營運流程,例如台積電與日月光等廠商,僅占企業界的0.2%。
從以上數據,不得不對臺灣供應鏈的網路資安,無論從管理面或科技技術面,均應投以更密切的關注。
隨著供應鏈受到攻擊的事件增加,關切的層次也持續提高,美國政府也將供應鏈安全列為國家安全策略的主軸之一。
法務部調查局資安工作站也指出,政府單位的委外廠商也成為不法人士的網路入侵管道,當這些政府委外廠商遭駭客入侵時時,委外廠商所託管的政府伺服器與主機也可能遭到駭客入侵而導致機敏資料的流出或服務的中斷。2020年末,美國政府機構遭遇的國家級SolarWinds供應鏈攻擊事件,凸顯這類攻擊的危害超出預期。基於企業風險控制以及考量核心能力,產業上的專業分工商業模式已是常態,透過上下游供應鏈或委外廠商的共同合作來完成產品或服務的交付,已是現代商業上無法避免的運作模式。然而現代駭客不僅擅長突破企業的防護機制,也具備高超的隱匿技術。為了滲透目標企業,除了選擇直接的正面攻擊之外,若發現滲透目標相關的委外廠商、軟體廠商或是商業夥伴,若這些目標廠商的供應鏈廠商具有更脆弱的資安弱點,都有可能被駭客視為入侵管道。
圖1為勤業眾信所彙整出海內外幾個重大的供應鏈與信任圈的攻擊事件[2]。從這些事件發現,駭客從供應鏈廠商與信任圈偵測資安弱點與展開攻擊行動成為共同點,即使困難重重,凸顯企業必須面對供應鏈廠商與委外廠商的資安管理議題。
▲圖1:供應鏈與信任圈攻擊事件部分案件紀錄
(資料來源:勤業眾信通訊2021年3月號)
「資安責任共同承擔模型」(Shared Security Responsibility Model,簡稱SSRM)已成為重要雲端服務商(例如Amazon Web Service、Microsoft、Google、Oracle等)依據IaaS / PaaS / SaaS服務種類的不同,引用SSRM劃分出雲端服務供應商(CSP)與客戶間權利與責任。在供應鏈資安管理STA領域(Supply Chain Management, Transparency, and Accountability,簡稱STA),特別加入與強化SSRM,目的在協助企業在進行供應鏈資安管理與委外廠商管理時,指引出可行方案。圖2為SSRM應用在解決供應鏈資安議題的程序。執行步驟如下[3],在整個供應鏈中,無論是資訊實施、應用,還是管理和記錄都可以透過 SSRM 來客製化並落地執行。
- 辨識委外種類、供應鏈及夥伴的角色與權責;
- 透過服務流程、資料流的分析,訂出上述各面向的資安基準;
- 發展具客製化 ( 因專案或供應鏈特色而不同 ) 的資安規範、注意事項;
- 納入合約或MOU;
- 執行強或作業以避免遭受資安威脅;
- 資安確信與持續改善。
國立雲林科技大學位處雲林縣,鄰近許多工業區,工業區廠商有眾多扮演不同供應鏈的廠商。管理學院經營管理中心與創逸科技服務有限公司以及竣盟科技股份有限公司共組團隊,針對汽車零組件供應鏈廠商,從策略面、管理面以及技術支援層面,協助廠商面對有關該產業的供應鏈資安共責議題,以下做簡單說明。
▲圖2:資安責任共同承擔模型SSRM用於解決不同供應鏈資安特性
(資料來源:勤業眾信通訊2021年3月號)
首先說明歐盟汽車製造及供應商協會 (ENX, European Car Manufacturers, Suppliers and Associations)[4],成立於2000年,由40個國家的1000多家歐洲汽車製造商、供應商等組成的協會,董事會成員包括Audi、BMW、Bosch、Continental、Daimler、DGA、Ford、Renault,上述汽車大廠,以及產業協會,包含ANFAC (Spain)、GALIA (France)、SMMT (UK) 與 VDA (Germany),扮演為歐洲汽車工業提供開發、採購和生產控制安全交換關鍵數據解決方案的協會。其中VDA是德國汽車工業協會,於2005年發布了汽車產業資訊安全要求指引 VDA ISA,本指引主要參考ISO / IEC 27001和ISO / IEC 27002,作為汽車產業資安的重要依據。為解決諸多車廠,對供應鏈廠商不定期且頻繁的依據VDA ISA規定進行資安稽核,造成雙方的負荷。VDA 與 ENX發起成立TISAX平台,作為協會成員機構的資安稽核成果的互相承認平台,避免重複與多次的稽核造成協會成員的資源耗損。
TISAX(Trusted Information Security Assessment Exchange),汽車安全評估訊息交換平台,當客戶要求證明公司的資訊安全管理,符合「VDA ISA (VDA Information Security Assessment) 」所定義的級別,就必須透過 TISAX 平台,分享資訊安全管理之評估結果[5]。對供應鏈廠商而言,頻繁的客戶稽核,已經造成供應商的營運負擔。因此VDA 建立多數註冊成員認可的資訊安全評估流程,評估完成並需將結果上傳TISAX平台,目的在取代過去各主要車廠對於供應鏈廠商的頻繁者稽核,且提供各需求車廠、供應鏈廠商或其他利害關係者在獲得授權後進行資安管理之評估結果的查詢。許多車廠如VW、BMW、Porsche 總部皆陸續要求其供應鏈廠商都應獲得TISAX認證,取得Participant-ID,以利資訊數據的交換、整合稽核資源以及節省雙方稽核成本,未來將認證列為供應鏈廠商的必要條件。
同時基於汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA認證的決心,條列幾個重大供應鏈受到資安衝擊事件:
- TOYOTA日本總公司表示旗下5家Toyota經銷商、2家Lexus經銷售及一家Corolla經銷商的網路及伺服器遭到未經授權的存取,近三百一十萬名顧客資料遭到未經授權的存取。
- Pen Test Partners揭發兩款高階汽車防盜系統有遠端挾持安全漏洞,讓駭客能直接偷走車輛或讓車輛在行進中停止,影響到Mazda、Range Rover 、Kia 、Toyota旗下特定車款的安全性。
- 日本汽車大廠本田汽車(Honda Motor)一個內含超過1億份文件,包含員工電腦主機名稱、IP、使用哪套安全軟體的資料庫,由於未設密碼,恐讓全球公司電腦安全部署及漏洞狀況被人看光。
- 電動車生產商特斯拉控告華裔前職員曹光植,他涉嫌在 2018 年底離職前,複製30多萬份自動駕駛相關的原始碼(source code)文件,並傳 Autopilot 相關程式碼副本到私人 iCloud 帳號,跳槽到被稱為中國版特斯拉「小鵬汽車」位於矽谷的辦公室任職。
有鑑於此,汽車產業資安事件層出不窮,促使歐系車廠加速供應鏈完成汽車安全評估訊息交換平台(TISAX)-VDA ISA 的決心[6]。臺灣汽車零組件廠商自去年開始,也紛紛傳出收到客戶要求進行TISAX認證,但是臺灣汽車零組件廠商的企業資安環境絕大多數屬於工業技術研究院所列為資安入門生,且營運上多聚焦於訂單,而忽略公司治理中有關法遵合規的要求,因此當收到客戶的要求時往往不知所措,加上對於TISAX的生疏,也無法確認自己需符合哪個級別的認證。因此雲科大管院經營管理中心結合創逸科技服務有限公司與竣盟科技股份有限公司的輔導服務以及資安軟硬體服務專業,協助廠商從管理面與技術面進行變革管理後,導入TISAX認證,同時也協助釐清在歐系品牌供應鏈廠商角色後選擇適當的TISAX認證等級[7],並告知認證合格後有效期為三年,三年間建立自己的內控與內稽機制,三年後再認證。建置與驗證流程如圖3所示,估計需花1年的時間來完成。若供應鏈廠商尚未完成ISO27001等級的驗證,建議同時進行以節省成本與時間。
▲圖3:TISAX建置與驗證流程
(資料來源:創逸科技服務服務有限公司)
隨著人工智慧(AI)、物聯網(IoT)、自動駕駛(autonomous driving)的科技演進與全球趨勢,汽車工業資訊安全就日益重要。一直以來,整個汽車供應鏈的服務提供者(Service provider)及製造商(Supplier)必須定期對OEM客戶證明有能力對客戶所提供的資訊符合高度資訊安全要求。然而,這些資訊安全稽核皆由各家OEM客戶自行執行,導致不必要的重複稽核活動與資源浪費。供應鏈的資安共責必需形成共識才能發揮資安聯防的效果,基於落實公司治理中有關法遵合規的要求,期待廠商能對未來供應鏈的前景有更具前瞻力(foresight)的認知,及早準備因應客戶對於供應鏈資安的要求,切勿低估客戶的落實決心,建立臺灣汽車零組件供應鏈產業的乾淨供應鏈,才能提升整體供應鏈產業的競爭優勢。
[1] 柯志賢、陳志明與周哲賢,2021年3月,從 SolarWinds 事件看供應鏈資安責任共擔,勤業眾信通訊,2021年3月號,23-26頁。
[2] 供應鏈資訊安全管理強化教戰守則,工業技術研究院。
[3] 柯志賢、陳志明與周哲賢,2021年3月,從 SolarWinds 事件看供應鏈資安責任共擔,勤業眾信通訊,2021年3月號,23-26頁。
[4] https://www.enx.com/en-US/enxnetwork/
[5] 資料來源:創逸科技服務有限公司
[6] 資料來源:iThome / BBC News整理
[7] 評估標的(Assessment Objectives)分別為 Information Security、Prototype Protection 與 Data Protection,評估等級(Assessment Levels)分為AL1、AL2與AL3。
[2] 供應鏈資訊安全管理強化教戰守則,工業技術研究院。
[3] 柯志賢、陳志明與周哲賢,2021年3月,從 SolarWinds 事件看供應鏈資安責任共擔,勤業眾信通訊,2021年3月號,23-26頁。
[4] https://www.enx.com/en-US/enxnetwork/
[5] 資料來源:創逸科技服務有限公司
[6] 資料來源:iThome / BBC News整理
[7] 評估標的(Assessment Objectives)分別為 Information Security、Prototype Protection 與 Data Protection,評估等級(Assessment Levels)分為AL1、AL2與AL3。