華碩資安長：大廠應帶頭樹立供應鏈資安管理制度

華碩全球副總裁暨資安長金慶柏表示，去年國內上市櫃公司公告資安事件共約23起，今年前2月已有9起，「現在很多駭客，打你打不進去，改去攻你的供應鏈」，他呼籲企業資安防禦不能單打獨鬥，大廠應帶頭樹立供應鏈資安管理制度與標準。

華碩全球副總裁暨資安長、台灣資安主管聯盟會長金慶柏，今天參加台灣青年數位文化創新協會舉辦的AI與資訊安全論壇。他表示，現在駭客已經組織化，手法超級多，包括駭客供擊、勒索軟體、釣魚網站、資安漏洞、商業郵件詐騙等，企業資安事件層出不窮。

金慶柏表示，根據統計，2023年國內上市櫃公司公告的資安事件共約23起，受害企業涵蓋汽車、電機、觀光、塑化、生技等各產業。2024年光前2月已有9起，如果按此進度推算，今年全年資安事件可能較去年倍增。

金慶柏特別提醒，現在供應鏈資安管理愈來愈重要，因為大廠有較多資源建構資安防禦，台灣眾多的中小企業，平均1家公司只有6名員工，根本沒有足夠資源。「現在很多駭客，打你打不進去，改去攻你的供應鏈」。

金慶柏強調，防禦力不足的供應鏈恐成為資安破口。他呼籲大廠應帶頭樹立整個供應鏈的資安管理制度與標準，資安防禦範圍要擴大到整條供應鏈。

他舉例，在國內，台積電攜手工研院共同成立的SEMI資安工作小組，2022年推出半導體產線設備資安標準規範SEMI E187，從源頭規範建立設備資安標準的基準線，象徵台灣半導體業界的資安意識提升及落地實踐。

至於在國外，金慶柏說明，美國國防部2023年推出CMMC2.0網路安全成熟度模型認證，2026年將全面實施，成為美國國防供應鏈廠商必備的驗證基準，未來如果要搶食美國國防相關商機，符合CMMC規範將成為必備的入場券。