「去年9月的黎巴嫩呼叫器爆炸案,造成大量伤亡,事件最初外界一度怀疑,该设备是某台湾上市公司所制。」国家资通安全研究院副院长龚化中表示,这起事件令政府高度紧张,立即展开调查,虽然后续证实该公司并无涉入,但此一风波突显出:一旦资通讯产品出问题,不仅企业品牌将受冲击,国家形象亦难置身事外。
过去两年,产品资安不只影响产品制造商,也影响国家安全
「产品资安不仅对ICT业者带来业务上的影响,也会影响国家安全。」龚化中呼吁国内业者必须正视整体态势,深入理解产品资安的重要性,他特别举出两例来说明。 例如,中国去年举办的「矩阵杯」漏洞挖掘竞赛吸引了三千名参与者,其成果发现超过百个存在于通用产品的漏洞。 尽管漏洞竞赛的初衷立意良善,但大家如果对中国有所了解的话,应该知道中国有同的规则存在,发现的漏洞并不能先行通报厂商进行修补。根据中国于2021年发布的《网路产品安全漏洞管理规定》,新发现的漏洞必须先向中国政府报告,且禁止向包括海外组织在内的任何单位公开披露。 换句话说,上述发现的100多个零时差漏洞,都会被中国政府独家且早期掌握,很有可能对国家安全造成很大影响。 另一例是今年年初,中国骇客有资讯泄漏被外界发现,其内容显示中国正研发一款AI驱动的网路攻击原型工具,专门搜寻并利用物联网设备漏洞,且锁定目标均为台湾的ICT产品。对此,龚化中强调两大对策:(一)针对产品发布后的CVE漏洞问题(亦即产品上市后才发现的已知安全弱点),应透过SBOM管理、弱点扫描及时韧体更新等方式加以因应;(二)针对产品开发阶段的CWE问题(亦即在软体设计与开发过程中产生的常见软体弱点),则应透过SSDLC安全软体开发生命周期、源码扫描、渗透测试,以及完善的通报修复系统来因应,减少后续的CVE漏洞问题。
同时他另揭示,在2025年,资安院将大力推动ICT产品资安,预计有3项行动计划将会施行,希望帮助更多国内产业能跟上国际潮流。
毕竟,如今全球各国积极制定产品安全、物联网安全法规,将产品基本安全要求的标准一再拉高,这也会是台湾制造商的机会,我们可以更明确掌握产品资安必须强化的方向,进而提升产品的安全性与市场竞争力,在全球市场中取得更有利的地位。