loading...
因應歐盟《網路韌性法案》(CRA)即將上路帶來的國際合規挑戰,國家資通安全研究院(資安院)10日正式啟動全台首次大規模「產品資安漏洞獵捕活動」,透過結合國內廠商與本土資安研究員,在產品上市前先行抓漏,將資安防護由被動防禦轉為主動風險發掘,縮短產品修補時程,進而提升台灣電子產品在歐美市場的安全信任度。活動已自12月1日展開,預計持續至明年1月31日。
資安院說明,本次活動匯聚研華科技、亞旭電腦、華碩科技、華芸科技、正文科技、威強電工業電腦、四零四科技、威聯通科技、群暉科技、兆勤科技與勤晁科技等11家國內指標性廠商,針對網通設備、網路儲存裝置(NAS)及工業網通設備等20組關鍵產品進行實測。活動吸引超過150名本土資安研究員投入,廠商端共投入新台幣720萬元獎金。資安院統計,截至12月5日已收到3件初步通報案件,顯示活動初期已展現成效。
資安院在活動中擔任「紫隊」角色,負責搭建平台、制定驗證標準、審查漏洞有效性並進行爭議仲裁,採行國際通用的「紅(攻擊)–藍(防守)–紫(裁判)」協作模式,建立「挖漏洞、修漏洞、賞獎金」的正向循環機制,確保過程公平透明,同時協助企業建立符合國際規範的產品安全治理體系。
資安院院長林盈達表示,這次活動展現產業界與資安社群共同強化台灣產品資安的決心,也是台灣加速接軌國際的重要基礎。為鼓勵頂尖研究員參與,獎金發放將依循國際通用的漏洞風險分級標準,針對可能涉及竊取機密資料、奪取系統控制權等高風險情境設有加碼獎金,經資安院驗證有效的漏洞,將協助廠商提交常見漏洞與暴露(CVE)申請,並於活動設立的「產品資安名人堂(Hall of Fame)」公開致謝。
數發部資安署長蔡福隆指出,漏洞獵捕活動是我國產品資安策略的重要一環,未來將持續透過公私協力模式推動,並朝常態化辦理,讓更多國內廠商在產品開發初期即導入資安流程,推動MIT由「Made in Taiwan」邁向「Make It Trusted」,讓台灣製造不僅代表品質,也代表安全可信,成為全球供應鏈中的重要價值標誌。
資安院副院長龔化中補充指出,歐美國家近年高度重視產品資安,歐盟也已推出CRA法案,未來若產品未符合資安規範,恐面臨高額罰款與市場限制。為協助國內廠商因應國際趨勢,資安院首度聯合廠商與本土資安研究員舉辦漏洞獵捕活動,從被動應對漏洞,轉為主動在產品上市前先行找出風險。
藍隊廠商代表、合勤投控資安長游政卿也指出,過去企業面對漏洞多半「避之唯恐不及」,如今國際市場已將資安視為基本門檻,漏洞反而成為讓產品更好的資產。他表示,這次願意拿出產品與經費接受檢驗,是因為國際客戶對安全的要求已成為進入市場的重要條件,「敢於被檢驗,才值得被信任」。
白帽社群代表、台灣駭客協會理事長翁浩正則指出,漏洞獎勵計畫是企業資安的「最後一哩路」,透過制度化機制讓研究員安心通報漏洞,有助於強化企業防護、培育資安人才,並促成政府、企業與資安專家之間的互信。
資安院表示,透過本次活動,希望協助廠商在CRA上路前提前建立符合國際規範的產品資安體系,讓台灣電子產品在歐美市場的安全信任度進一步提升。
