從物聯網和企業營運科技的角度來看,提升資安韌性不僅是技術問題,更是一項涉及整個產業發展策略的課題。在生成式AI、萬物聯網的新時代,建構全面的資安防禦措施是企業生存和成長的關鍵。
面對人工智慧(AI)、物聯網(IoT)等新興應用快速普及,企業引進相關技術的同時,亦須即時掌握資安風險,才能讓各式數位化場域發揮應有的效益。
國家資通安全研究院院長何全德指出,台灣作為全球製造業的重要據點,其關鍵基礎設施和製造業不僅是國家的經濟支柱,也在產業持續地邁向數位轉型過程中面臨諸多挑戰。這些挑戰包括全球通膨、氣候變遷、供應鏈重組、美中競爭延續以及地緣政治風險等。
特別值得注意的是地緣政治風險對台灣製造業的影響。何全德說明,地緣政治風險以往在資安工作中並未受到足夠重視。但近年來,從俄烏戰爭與以哈衝突的經驗中,台灣產業界開始意識到地緣政治風險的重要性,並將其納入應對策略中。因此,資安的範疇已從單純的防護擴展到強調「資安韌性」,這不僅是台灣產業的重要議題,更是長遠發展的必要考量。
AI對數位製造的挑戰與契機
從2023年的資安事件可發現,網路犯罪的專業程度與獲利模式更甚以往。何全德觀察,網路釣魚、詐騙案件盛行、物聯網設備的安全問題持續存在。此外,加密貨幣和區塊鏈技術的普及,以及AI與機器學習技術的廣泛應用,皆可能帶來新的安全挑戰。
他引述趨勢科技發布的2023年上半年網路資安報告指出,製造業已成為駭客攻擊前五大目標之一。台灣製造業主要由中小企業組成,因資源有限極易遭攻擊威脅。
為了應對這些挑戰,何全德認為,不僅需要加強中小企業的資安意識和能力,還需要在供應鏈的每個環節中提升安全防護。他以長期從事政府資訊及資安工作的經驗來看,政府與私人企業在推動資安時,通常會受到三大驅動力量的影響。第一是合規性的要求,第二是供應鏈的需求,第三則是曾經遭受駭客攻擊而造成損害的經歷。畢竟資安的投資需要成本挹注,要讓高階管理層同意支持,就必須從經營者的角度來制定並實施資安策略。
物聯網資安問題之所以受到重視,主要是因為製造業營運環境中大量應用了物聯網技術,如製程數據感測系統等。這些系統融合了資訊科技(IT)與營運科技(OT),增加了系統的複雜度。任何單一的安全漏洞都可能被攻擊者滲透成功,導致營運停擺造成損失。
「人工智慧(AI)為推動數位轉型提供了契機。這個變化需要運用新的資安治理思維,包括實踐零信任架構,並從源頭的軟體品質安全著手,以駭客的思維設計防禦措施、執行紅隊演練來檢視企業的資安韌性。」何全德說。他強調,資安不僅是個人的責任,而是需要跨領域整合及協作的領域,各種垂直應用才能有效降低風險。
駕馭AI新浪潮 守護物聯大未來
根據IDC日前公布2024年台灣資通訊(ICT)市場趨勢預測,資安領域的產品與服務本就仰賴AI與進階分析技術釐清惡意威脅行徑,而在2023年,生成式AI的崛起,更進一步推動資安自動化邁向跨領域和跨技術範疇的「網路安全自主化」階段。IDC預估到2026年,全球將有30%的大型企業透過自主安全營運相關投資,提高資安事件的修復、管理和應對效率。
新電子、新通訊、網管人雜誌社長王智弘指出,AI的發展對於產業帶來的影響可謂是一把雙刃劍。一方面,為各行各業帶來創新與效率的提升。另一方面,也帶來了資安方面的挑戰和威脅。主要的問題在於,AI的高效能降低了惡意攻擊的門檻,這使得資安風險逐漸增高。因此,在擁抱AI帶來的便利與進步的同時,也必須有能力解決可能引發的資安問題。
TXOne Networks睿控網安科技行銷協理鄭朱弘毅說明,這些挑戰主要包含兩方面:一是AI和量子電腦可能破解加密技術,使用較短路徑達成智慧型密碼猜測;二是生成式AI的應用,特別是在社交工程攻擊方面,例如釣魚郵件和惡意聊天機器人,利用生成式AI讓人們信以為真。為降低社交工程攻擊的成功率,鄭朱弘毅建議,可藉由資安技術工具加強防範措施,並在機敏性較高的工作流程中增添驗證機制,以免惡意行為得逞。
Check Point研究部門於2023年11月發布的報告預測了2024年的網路安全趨勢。該報告指出,AI時代的網路攻擊將呈現上升趨勢,並強調「以AI來對抗AI」的必要性。AI的應用將加劇資安防禦的難度,加速已知漏洞的武器化和概念驗證。Check Point資安傳教士楊敦凱強調,未採用AI技術的資安解決方案,未來將難以獲得市場青睞。技術供應商需要積極開發運用AI對抗AI的技術,同時也需深入探討用以訓練AI模型的資料、專業領域知識以及AI的誤判率與攔截率之間的平衡。
伊諾瓦科技總經理萬述寧亦強調,面對AI或AIoT應用場域的資安疑慮,建立縱深防禦可說是有效的策略,不僅須涵蓋對關鍵資產存取的控管,也要增進對員工、資訊系統和應用場域的保護。透過釐清可能造成營運威脅的環節,選用合適的防護機制,並根據資產的重要性調整防護措施的嚴謹程度,可以有效防止單一控制點被繞過。
人工智慧科技基金會技術長張嘉哲具有協助企業導入AI應用的豐富經驗,他提醒,企業須留意到,AI模型也可能遭受惡意攻擊,攻擊者的目的可能是為了逆向工程抄襲AI模型,或是欺騙AI模型使其做出錯誤判斷。因此他認為,了解AI模型的訓練過程和潛在漏洞是資安領域中的重要部分,藉由訓練課程可幫助學員加強對AI安全性的理解和應對能力,以促進產業運用新興科技達到商業目標。