研析ICT產業供應鏈國際資安發展趨勢 資策會科法所助我國產品競逐全球市場
2021-06-18 16:00:05 中央社訊息服務20210618 15:59:48
我國資訊與通信科技(Information and Communication Technology, ICT)產業供應鏈發展相當完善,資通訊產品製造更是聞名全球。在ICT產業供應鏈中,各種軟硬體、應用程式、資訊服務,多少會使用外部供應商技術或開源軟體元件,在使用者可能無法有效掌握外部技術元件安全性,或不確定供應商、合作夥伴環境的資安防護程度是否足夠,便可能使駭客有機會自供應鏈上下游深入,逐步進行供應鏈攻擊。為此,國際間陸續發佈資通訊系統採購之供應鏈安全要求,財團法人資訊工業策進會科技法律研究所(資策會科法所)亦建議我國須研發符合國際規範之資安技術與機制,以使我國企業產品能接軌國際。
資策會科法所法律研究員劉徑綸表示,不論是國防軍事系統,或是與國民生計相關的關鍵基礎設施,皆會使用電腦、電子設備、通訊等資通訊技術,且隨著對ICT產品與服務的依賴程度日漸增加,以及在ICT產品採購全球化趨勢下,可能影響國家安全與經濟的ICT產業供應鏈安全問題,已促使各國相繼提出因應措施。如美國公布「確保資通訊技術與服務供應鏈安全」行政命令、提出「乾淨網路」倡議與宣布「網路安全成熟度認證」。歐盟與北大西洋公約組織等多個國家代表於5G安全會議後公布「布拉格提案」、歐盟網路與資訊安全局(European Union Agency for Network and Information Security, ENISA)亦針對ICT產品推出「網路安全認證機制」。
劉徑綸建議我國亦須研發符合國際規範之資安技術與機制,其中值得供參考之國際現有標準,包括建構軟體安全成熟度模型(BSIMM 11)、工控系統資安管理標準(IEC 62443)、半導體設備與材料安全標準草案(SEMI 6506A)等。資策會科法所團隊將持續關注國際供應鏈安全最新趨勢與資安標準更新情形,以協助供應鏈業者滿足國際規範,使我國資通訊產品接軌國際,競逐全球市場。
