粉絲團
現今駭客當直接攻擊不成功時,就會轉而透過產品漏洞入侵系統,如同壞皇后的毒蘋果般。(記者邱巧貞攝)
〔記者邱巧貞/台北報導〕國家資通安全研究院(簡稱資安院)今(10)日宣布正式啟動大規模聯合廠商與本土資安研究員參與的「資安漏洞獵捕活動」,本次活動自即日起展開,將持續至明年1月31日。
資安院強調,為因應歐盟即將施行的《網路韌性法案》(Cyber Resilience Act, CRA)所帶來的國際合規挑戰,並協助國內廠商超前部署,透過與本土資安研究員的合作,從被動防禦轉向主動風險發掘,縮短產品修補時程,全面提升台灣電子產品在歐美市場的資安信任度。
資安院指出,此次活動獲得業界熱烈響應,共集結研華科技、亞旭電腦、華碩科技、華芸科技、正文科技、威強電工業電腦、四零四科技、威聯通科技、群暉科技、兆勤科技與勤晁科技等11家國內具指標性的科技大廠,針對網通設備、NAS、工業網通設備等20組關鍵產品進行實地資安測試。
左起合勤游政卿資安長、資安院林盈達院長、資安署蔡福隆署長、資安院龔化中副院長及台灣駭客年會翁浩正理事長。(資安院提供)
目前已吸引超過150位本土資安研究員參與,參與廠商更投入高達720萬元獎金作為漏洞獎勵。資安院說明,活動由資安院負責建置測試平台、制定驗證標準並擔任中立裁判角色,採用國際主流「紅隊(攻擊)–藍隊(防守)–紫隊(裁判)」的協作模式。其中資安院擔任「紫隊」,負責漏洞驗證、有效性審查與爭議仲裁,建立「挖漏洞、修漏洞、賞獎金」的正向循環機制,確保整體過程公平透明,同時協助企業建立符合國際規範的產品資安治理架構。
資安院院長林盈達表示,此次活動展現出產業界與資安社群攜手提升台灣產品資安水準的決心,也為台灣接軌國際資安標準打下堅實基礎。資安署署長蔡福隆也強調,漏洞獵捕活動是我國推動產品資安的重要計畫之一,未來將持續透過公私協力機制推進產品資安政策,並將本活動制度化、常態化舉辦,讓更多國內廠商參與其中,讓台灣製造成為品質與資安的雙重保證,成為全球供應鏈中的信賴標誌。
資安院副院長龔化中也以童話故事為比喻,他指出,還記得白雪公主是怎麼被壞皇后陷害的嗎?一開始,壞皇后試圖用暴力解決,派獵人去殺她,但失敗了。最後她是透過「產品」一顆毒蘋果,設計陷阱才讓白雪公主中招。現在的駭客手法如出一轍,當直接攻擊企業不成功時,就會轉而透過產品漏洞入侵系統、竊取資料,甚至威脅國家的關鍵基礎設施安全。
以今年韓國的SK Telecom為例,數千萬筆個資外洩,起因正是一台存在漏洞的VPN設備遭駭客利用,這類事件顯示產品資安問題不僅是資安領域中最困難的防線之一,更是全球最需重視的課題。
歐美等先進國家早已意識到「產品本身的資安缺陷」,會直接影響網路基礎設施的穩定與韌性。歐盟因此推動《網路韌性法案》,預計於2027年全面實施,該法案規定,所有上市產品皆須符合資安要求,否則不得標示CE認證,且違規者最高將面臨全球營收2.5%的罰款。
這也說明,產品資安問題不再只是使用者的責任,而是製造商必須正視的核心責任。然而,多數製造商本身並非資安公司,因此必須與外部資安專家合作,確保產品安全無虞,即便是Tesla、Cisco等國際大廠,也持續舉辦漏洞懸賞(Bug Bounty)活動,邀請全球白帽駭客協助發掘產品漏洞,確保資安品質。
合勤科技資安長游政卿回顧活動初期的思考,他坦言:「起初我們也猶豫是否要推動這項活動,直到發現國際客戶除了要求品質、交期、售後服務之外,對資安的要求更是日益嚴苛,若資安做不好,未來連歐洲市場都進不去。」
他進一步指出,國內對資安的認知確實存在落差,過去企業常常「駭客一來,逃都來不及」,而現在,願意投入七百多萬元的預算,讓資安專家來主動找漏洞,這背後反映的是整體社會觀念的轉變。「以前大家把漏洞當作家醜不可外揚,現在我們開始認知到,漏洞其實也是一種資產。了解它,才能讓產品變得更好。」游政卿認為,國內資通訊產業的思維已經正在改變,而這種改變,來自國際客戶的高度要求。
他也分享,過去公司辦過Bug Bounty活動,獎金主要發放給國外白帽駭客,使用歐元、美元結算,後來意識到台灣也有很多優秀的白帽人才,便開始思考:「既然如此,為何不把這樣的信任與回饋機制留在台灣?」因此,他們與工業局、資策會合作,攜手志同道合的夥伴,共同推動這項活動。「我們寧可用新台幣發獎金,也希望把資安能量留在台灣,建立本地的資安生態系。」
游政卿強調,台灣是全球資通訊產業的重鎮,若能確保產品資安,就能提升產品國際競爭力,「若資安有國家作為後盾,加上制度的持續優化,對我們這些業者來說將是一大助力。」
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
