國際資安新創交流活動,讓台灣與世界共同抵禦網路威脅 面對時刻變化的網路世界,行政院不僅將資訊安全視為國家安全的重點項目,更為了讓台灣廠商有機會能與國際接軌,特地舉辦《2018國際資安新創交流活動》邀請台灣資安企業、資安新創公司、國內外創投與國際資安加速器,透過講座及現場交流的方式,爭取國際商業合作機會和資金,打進國際人脈網絡。

物聯網(IoT)帶來的資安挑戰

網路發展的下個階段,就是將世界萬物通通連上網路;物聯網(IoT)議題近期成為熱門話題,但物聯網的安全性也成為民眾和企業的一大隱憂;過去就曾發生駭客入侵烏克蘭電廠,導致民生供電中斷;又如芬蘭也曾出現針對暖氣供應網路進行攻擊的資安事件。從過去實際發生過的攻擊事件中,不難看出物聯網若遭到攻擊,對民眾所造成的影響將比普通的電腦遭駭更加嚴重。

來自荷蘭SecurityMatters的產品經理Daniel Trivellato在本次《2018國際資安新創交流活動》中,特地介紹了物聯網資訊安全問題的嚴重性,同時也提出要提升物聯網資安防護,企業需要從工作人員、作業流程與科技支援三大方面著手。

對於和物聯網相關的作業人員,Daniel Trivellato認為企業要建立新的技能訓練課程,以帶給員工足夠的物聯網資安觀念,同時企業內部要組織IT與OT人員的混合團隊,加強不同作業觀念間的溝通;從作業流程上,企業不僅要建立新的作業規則,更要將規則訂得極其詳盡,同時加強及時的危機處理能力;最後,企業需要提高物聯網資安風險的能見度,同時導引客戶解決資安問題。

台灣如何面對史上最嚴個資法

歐盟正式開始實施號稱史上最嚴個資法的「一般資料保護規範」(GPDR)後,眾多跨國企業都修改了蒐集使用者隱私資料的方式與原則,以免遭到歐盟懲罰。

工研院產經中心分析師楊玉奇在《2018國際資安新創交流活動》中,首先分析國內個資法與歐盟GPDR的不同,他認為GPDR納入了保障民眾數位活動的資料,其適法範圍比國內個資法更加廣泛,例如企業用機器學習或大數據自動化分析個資的限制,即是台灣個資法沒有保障的範圍;另外個人資訊在國際傳輸的限制,歐盟只允許個資受到適當保護的國家或企業,才有辦法傳輸個資也與台灣原則允許的規定不同。

可是在罰則上,楊玉奇認為GPDR雖然可以裁罰違法企業最高2000萬歐元或4%的全球營業額,但台灣的個資法最重卻可處5年以下有期徒刑,反而更加嚴格。

工研院認為,由於國內大型企業多已透過顧問公司獲得因應GPDR的解決方案,加上外界評估GPDR對跨境電商和雲端服務等資訊服務產業的影響較大,所以歐盟實施GPDR後對我國企業的影響相對有限;但楊玉奇也提醒,考量到未來歐洲市場的擴展所需,最好現在就先準備因應方案。

楊玉奇表示,GPDR對國內最大的衝擊,即是台灣與亞洲多數國家都不在歐盟允許進行跨境資料傳輸的特許名單內;工研院面對此一窘境,指出台灣未來將透過美國、日本、加拿大、墨西哥、韓國五個國家已經加入的CBPR區域跨境資料傳輸,藉此因應歐盟對跨境傳輸的限制。

楊玉奇也以Apple因應GPDR所提出的解決方案為例,指出全球世界企業適應GPDR的做法,其實都大同小異;這包含對使用者進行清楚的個資蒐集宣告,並將個資的分析和處理放在使用者的裝置中,同時把資訊傳輸的過程進行加密,藉由這些原則性的做法達到GPDR的要求。

而對於台灣資安廠商如何在這波GPDR的問題中找到適合的利基,工研院提出「個資蒐集」、「個資分析處理」、「個資儲存保護」和「資料傳輸」四大項目,建議資安廠商為這四個環節提出合適的產品及技術,讓企業進行參考與採用,都是台灣廠商可以切入的面向。

楊玉奇也以合勤科技為例,提出該公司的網通產品導入資訊安全防護技術,如IPSec/SSL VPN等,就可以視為廠商適應GPDR的優勢技術。

最後工研院建議廠商秉持個資最小化必要性蒐集原則,並嚴謹評估伺服器的設置地點,將資料傳輸進行加密;同時資安廠商則可以針對不同領域的企業提出合規需求,推出相關產品與服務;政府也會協助中小企業釐清規則需求並建立輔導機制,且在未來讓國內個資法與國際進行同步。

國內資訊安全新能量

本次《2018國際資安新創交流活動》中,有許多國內廠商也在現場展示其資訊安全解決方案,例如專注於企業電子郵件安全威脅的Cellopoint,就利用AI技術和機器學習,為企業建立安全的電子郵件過濾機制,獲得許多國內廠商採用。

Cellopoint推出的Email UTM產品,可以讓企業在電子郵件伺服器前端部屬安全設備,偵測有害的外來電子郵件,避免企業內部遭受病毒、駭客攻擊;同時Cellopoint也能過濾企業內部互相傳遞的電子郵件,甚至自動化檢查寄出的郵件是否含有公司隱私資訊,藉此避免機密資料外洩。

另外於資訊安全產業默默耕耘的台灣廠商全景軟體,也在本次《2018國際資安新創交流活動》中展示其下資訊安全解決方案,並將重點擺在個人身分驗證上。

無論是利用手機OTP或硬體TOKEN,全景軟體都能透過MOTP幫助企業建立身分認證伺服器、登入介面、API串接等全方位的軟硬體支援;全景軟體認為,相較於讓跨國企業如Google等為其他私人企業進行內部資料介接,全景軟體能直接為企業量身打造身分認證系統,並將個資管理權交由企業自行管理,能更加提升資料的安全性。

全景軟體過去已經和許多國內廠商及政府單位合作,打造包含自然人憑證在內等許多個人身分認證服務,相信可以將其下的資訊安全技術推廣到國際,讓台灣的資安軟實力在世界發光。

想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@

使用 Facebook 留言

發表回應

謹慎發言,尊重彼此。按此展開留言規則