加強資安防護能力
成為第一級營運能力的企業
將產品準時交付給客戶是文曄營運的基礎,系統停擺將造成延宕出貨或無法出貨的狀況,文曄自我期許成為產業界具備第一級營運能力的企業,而高度資安防護能力是提供優質服務的基石,因此持續從點線面評估資訊安全防護機制,且研擬各項技術的搭配來縮短系統修復時間,透過國際認證及紅隊演練等第三方機構來協助審視。經強化各項資訊安全防護與員工之安全意識,2021年未發生敏感資訊洩露之情形,且無重大之資訊服務中斷情形,造成與客戶或供應商營運活動之財務損失。
設立專責部門,強化資安管理
鑒於資訊安全日趨重要且網路攻擊層出不窮,文曄將於2022年成立專責資安部門,配置1位專責主管及2位專責人員,專責資安事件調查、系統漏洞揭露,以及新型態資訊安全架構的評估和導入等。另外,亦將評估ISO 27001的導入,藉由正規化、系統化的控制及管理,降低資訊安全事件所帶來的威脅和衝擊。
文曄設置資安專用電子郵件,從外部接收客戶、供應商、台灣電腦網路危機處理暨協調中心(TWCERT)及資訊設備、服務廠商等資安通報,且有專人定時收集各大資安新聞、漏洞發布、零時差攻擊等資訊,進行分析、紀錄及訂定事件等級;內部則針對嚴重程度訂定事件等級,由資訊部門通報窗口進行記錄,若為重大資安事件須立即通報營運長,資訊部門須在目標處理時間內排除及解決資安事件,且在事件處理完畢後進行根因分析,追蹤且記錄矯正措施之執行及驗證成效,依循PDCA手法持續改善,預防事件重複發生。
除此之外,也將資訊安全事件嚴重程度劃分成數個等級,分別制定其回復機制與標準作業程序,加速資訊系統服務的回復時間。
建立員工的安全意識
疫情席捲全球,改變人們生活型態,也改變工作型態,在家上班或行動辦公成為常態,致使員工脫離企業內網的防護,成為企業資安的潛在破口,強化員工資安意識已成為資訊安全中重要的一環。
2021年下半年導入員工資訊安全意識培訓計畫,規畫網路釣魚基礎課程與發現網路釣魚遊戲課程,兩項課程除了倉管人員100人,因其沒有個人電腦可使用且未提供公司電子郵件而未派訓之外,其餘開課時點之所有員工皆列為應訓人員,總應訓人次共4,205人次,除7人次於課程開立期間離職,2021年實際已完訓4,198人次(完訓率100%)。透過影片講解及互動式教學,提升員工資訊安全的知識及認知,且透過持續的社交工程演練,將安全意識融入到日常工作中。
遭惡意入侵時的備援與回復方案
文曄已全面建立網路與電腦之相關資安防護措施,但無論多完善的防護措施,都無法100%保證企業重要功能的電腦系統能完全避免來自任何第三方入侵攻擊造成的系統癱瘓。在遭遇嚴重的入侵事件時,系統可能無法運作,導致無法出貨,造成營運中斷或延誤出貨而須賠償客戶的損失,故迅速恢復系統運作將是重中之重。因此,除不斷加強資訊安全軟硬體的投資外,也持續強化備援措施,讓意外發生時能夠在最短時間恢復營運。
引進最新人工智慧NDR與EDR
駭客攻擊入侵手法日新月異,除了不斷探索系統漏洞,甚至運用零時差攻擊,在系統漏洞還未補上前駭入系統,也會透過釣魚方式竊取員工帳號與密碼,直接進到公司內部,種種方式已非傳統特徵碼的更新防護方式所能阻擋。
文曄於2021年導入具人工智慧機器學習機制的網路偵測回應(NDR)與端點偵測回應(EDR),NDR在網路端出現異常行為偏差時,進行第一線阻斷隔離防護;當網路端無法及時辨識及阻攔,使威脅進入到端點時,則透過EDR機制再行阻斷隔離防護。同時網路威脅沒有假日,因此亦與協力廠商簽訂SOC/MDR等託管服務,以7×24不間斷機制,隨時監控資安威脅事件。
回應客戶的資安關切
文曄客戶透過每年定期之供應商自評問卷,或透過與業務部門日常之溝通機制,針對資安管理進行評估或詢問特定之資安議題,2021年收到客戶關切議題主要為重大漏洞處理及是否通過ISO 27001驗證,全部已由資訊部門透過自評問卷或電子郵件進行回覆,以達成客戶之需求。
