一家企業的供應鏈資安危機,將造成多麼嚴重的損傷?2022年3月,日本汽車大廠 TOYOTA 宣佈其零件供應商小島沖壓遭到駭客入侵,導致 TOYOTA 零件管理系統故障,14 間工廠、28 條生產線全部停工檢察系統,估計受影響的生產中車輛數為 1.3 萬台。KPMG安侯建業顧問部營運長暨安侯數位智能風險顧問(股)公司董事總經理謝昀澤表示,大廠做好自身的資安管理還不夠,當系統串連上下游廠商,一旦供應商沒有防護能力,就可能造成資安缺口,日本TOYOTA正是零件管理系統資安缺失釀成重創的警世案例。反觀德國車廠,強制供應鏈的資安評鑑揭露,讓身為供應商之一的台灣中南部精密機械大廠必須升級資安,方能保全台商在汽車產業的重要地位。當資訊科技飛速發展,台灣身為全球供應鏈的重要一環,重視資安絕對刻不容緩。
企業提升情資收集力、敏銳度,即強化資安意識
綜觀台灣企業目前資安管理的現況,謝昀澤以《KPMG台灣企業資安曝險大調查》提出三項分析說明。一、「社群媒體應用危機」:台灣人愛好使用社群媒體,駭客容易從其中找到企業管理者的電郵個資,藉此臆測帳號,滲透企業機密。二、「入侵偵測調查雙高」:企業對資安準備的信心高,而釣魚信件的點擊率也高,「自我感覺良好」的低警覺狀態,暴露高風險。三、情資收集強,資安意識自然強:KPMG資安調查曝光,資安優異的企業很快就來詢問詳情,這種對新聞動態的敏銳,是情資收集力的展現,也是穩定資安的關鍵。
當科技快速成長,元宇宙、區塊鏈等新技術吸引眾人進入Web3 新世界。新穎的服務和體驗讓用戶深陷其中,但這個新世界也潛藏了資安危機。KPMG安侯建業數位長賴偉晏認為,Web3世界尚未成熟,許多賣比特幣的廠商、創投公司勾勒出的元宇宙,仍處於「販售夢想」的狀態,獲利模式未出現。他以「成熟技術的水平思考」這句任天堂提出的概念,務實分析台灣企業面對Web3最適切的判讀。
「Web3對台灣中小企業來說,最重要的是意識的改變——敢於擁抱科技,運用科技、加速轉型。而真正能幫助企業實際運作的,仍是Web2的工具。」賴偉晏表示,以數位行銷為例,Facebook等社群媒體的行銷操作,企業若未能經歷數據分析、客群鎖定、商品話術等洗禮,要進入Web3還有很長距離。同時,Web3去中化執行的商業模式,沒有中央監管機制,如何在「絕對自由」的條件下創造真正的商機,諸多疑慮仍待破解。此外,Web3強調數據的分享與應用,將驅動科技發展,尤其是產業之間如何跨資料共享;這也將促使「公民開發」將越來越盛行,特別是開放資源、開放系統的環境下,讓部門之間更容易使用,創造效率財,提升第一曲線的績效,如此正向循環影響,將使科技運用與開內化為企業DNA。
謝昀澤補充,過去十幾年來,加密貨幣運用區塊鏈技術發展,區塊鏈也促成NFT的發展,相關產品藉由綁定一串獨有代碼,但除了前二大的國際企業,其他廠商在NFT交易所的交易量,幾乎占比不到1%,對台灣企業來說,開發NFT,應優先思考國際競爭力與創新性。賴偉晏則以KPMG提供企業結合科技元素NFT、ESG、數位貨幣的區塊鏈創新模式,以「與客戶減碳共創」的目標,不為追求獲利,而是打造形象的創新,「定位清楚」正是企業嘗試新科技的心態關鍵。
Web3須解決法律與仲裁困境,方有成熟商模曙光
針對數位虛擬世界的資安風險,謝昀澤提出三項觀察。一、虛擬世界很難身分認證,許多玩家交易寶物,其實暗藏信任危機,真假難辨。二、NFT去中心化,強調創作者的價值,卻沒有法律與制度保障,容易陷入失序狀態。三、常見的隱私侵害、雲端駭客攻擊,以及虛擬貨幣盜失風險等,更是資安基礎課題。賴偉晏則認為,Web3去中心化的網路世界,將壯大假新聞的擴散,即使是不實的指控,也沒有被消除的權利;網路交易紀錄都是密碼學,真真假假、無法竄改,如何能驗證真偽,成了難題。因此,Web3必須面對「反去中心化」的運作模式,將是解決資安困境的第一步。
面對越趨複雜的網路世界,未來的資安人力,必須具備強大的跨域整合力。賴偉晏認為,資安人才不僅要懂數據分析,還要能達成內部優化,非常稀缺,也成為企業異動率極高的人力。他建議企業,一方面善用外部資源協助,如 KPMG安侯建業的數位顧問團隊,一方面做好資安人才傳承計畫,讓在地部隊緊密與空降資安人才學習,為企業內部資安實力晉級加分。
事實上,洞察台灣企業的數位轉型與資訊安全需求,KPMG安侯建業提供全方位的數位與風險服務,除了客戶體驗與創新、數據分析、智能自動化、金融科技等數位技術運用,還有數位資安、數位法遵、數位審計,以及數位稅務,從諮詢到評估,務實地為企業提出轉型策略、隱私與資安風險評估,也為企業提供人工智能、區塊鏈、數位資產、虛擬實境等新興科技與創新產業數位風險諮詢,做足準備迎接全球性的科技挑戰,穩健探勘商機。
