資安轉型新管理-必須因應未來科技的企業核心
專訪前美國國安局網路特遣部隊主任 Phil Quade
專訪前美國國安局網路特遣部隊主任 Phil Quade
Q.過去我們在看待資安問題的時候,都是從「防禦」的角度,但是您認為「網絡安全是業務的推動者」,為什麼您會這麼說?
A. 網路安全過去被視為企業營運需要控管的「成本」,如今的世界走向數位化、網路化,企業內外部的資訊以數位方式流通,資安的重要性與日俱增。尤其數位轉型已經成為企業成長的推動力,運用科技為企業升級有一個最重要的前提,就是必須使用安全的科技。
全球政府和人民也對個資安全越來越警覺,像是歐盟在2016年通過GDPR(《一般資料保護規則》),如果企業沒有妥善處理個資,最高將被處以兩千萬歐元或全球總營業額四%的罰鍰。同時,有越來越多的標準被用來衡量、要求企業的資安作為,合作夥伴之間也會關切對方的資安策略、評估合作風險,這是現今商業合作的常態。而且人們對供應鏈安全的重視程度,提升至前所未有,尤其台灣是全球產業很重要的供應鏈,如果企業多關注資安議題,能讓歐美乃至於全球更有信心與台灣貿易往來。
Q.種種資料顯示,網路攻擊的數量、種類和速度都在加劇。為什麼企業現在要面臨更多威脅?這將帶來什麼後果?
A. 五到十年前,資安的主要課題還是以識別、控制網路病毒居多。如今的網路攻擊有更多的方式和目的,包括勒索軟體、加密攻擊、資訊竊取⋯⋯這都可能是蓄意造成破壞,也可能有特定目的。而各種新科技的出現,實現了過往無從想像的效率和便利,卻也讓事情變得越來越複雜,為資安人員帶來以下的挑戰。
Q. 面對這麼多威脅,企業該如何因應?
A. 首先應該改變心態。資安在過去只是資訊部門的事情,但現在企業經營者應該認知「資安必須是董事會層級就該關注的議題」;企業需要多了解「資安」意涵的經理人,並不一定要具備資訊工程的學位,但對資安風險務必要更有意識。同時,企業全體員工也都應該有相當的資安意識,因為「人」是每日營運中的行為與決策者。
Q. 結合您從華府到私人企業的經驗,能不能給台灣企業進行資安防護時的一些建議?
A. 無論機構大小或形態,有幾件事情是不變的:
網際網路變化日益快速,軟硬體互聯性也日趨複雜,雖然企業採取隔離措施,但仍會衍生資安風險,因此企業主必須釐清自己最想要避免的資安風險有哪些,從而擬定因應策略。
Q. 面對這麼多資安威脅,在資安科技上有沒有什麼令人更振奮的新進展?
A. 面對網路大數據(Big Data),奠基於「機器學習(Machine Learning))的AI人工智慧,能為資安監控帶來極大的幫助。我們在Fortinet建立了一棟有兩百多名員工的實驗大樓,針對全球不同的網路威脅進行研究,並將這些資訊互相比對串聯,同時AI也能協助Fortinet的人員有辦法可以查看高達數十億的惡意軟體,快速識別最新出現的威脅,並對外發布分享資安威脅訊息,讓Fortinet企業客戶的資安人員使用這些資訊後,能在第一時間減輕損害,並把時間花在更重要的工作上。
Phil Quade
Phil Quade曾於美國國家安全局(NSA)服務三十四34年,擔任國家安全局網絡特遣部隊主任和國家安全局網絡主任特別助理。退職後轉任私人企業,於資安防護服務供應商Fortinet擔任首席資安長,串聯公私部門資安情報,並結合在國安局鑽研情報技術及網路攻擊防禦的經驗,以及Fortinet世界頂尖資安防護的經驗與科技實力,致力於提升資安防護,組成資安長(CISO)跨組織防禦連線。
Fortinet (NASDAQ: FTNT) 保護全球大型企業、服務供應商和政府組織。Fortinet 賦予客戶完善的智能型安全防護,即使現今受攻擊面不斷地擴大;同時提供強大的能力滿足無邊界網路持續增加的效能需求,不論是現在或未來。唯有Fortinet的安全織網 (Security Fabric) 架構能擁有毫不妥協的安全防護,因應最嚴苛的安全挑戰,無論是在網路、應用程式,或是雲端和行動環境中。Fortinet 的安全設備目前出貨量全球排名第一,超過 37,5000 個客戶信任 Fortinet 來保護他們的企業。更多有關 Fortinet 的資訊,請瀏覽:www.fortinet.com、Fortinet Blog,或是 FortiGuard Labs。
有關產品與服務諮詢,請洽台灣Fortinet,電話02-2796-1666。或瀏覽台灣網站:www.fortinet.com/tw