骇客止步！ 资安股登新舞台

今年一月，立院三读通过「产业创新条例第十条之一修正案」，除了将原有的智慧机械、５Ｇ投资抵减年限延长至二○二四年底，抵减范围也首度新增了「资安产品或服务」项目。修正草案五月预告，新版抵减办法正式于七月四日正式出炉，资安部分包括硬体、软体或技术服务，以美国网路安全框架（ＮＩＳＴ）五大构面为认定标准，其投资支出併入５Ｇ、智慧机械合计达一百万元至十亿元者，得以当年度五％或三年内三％的额度抵减，但不能超过应纳所得税额的三○％，也往政府所提倡的「资安即国安」战略目标落实更迈进。

去年十一月，金融圈发生了一件大事，包括六家券商及一家期货商向主管机关通报部分复委托帐户遭冒名下单，投资人在不知情之下被买进股票，隔日该檔股票还卖压狂泻，影响到券商及合作软体商的商誉，许多客户被营业员来电告知：「请赶紧更改下单密码，并设难度高一点的组合！」。

国内骇客攻击层出不穷

知名防毒软体趋势科技高管指出，此类密码撞库攻击，系利用偷来的登录凭证，透过殭尸网路以自动化方式，不断试图登录网路服务的攻击手法，无奈相关资安事件层出不穷，不只政府、金融业深受其害，若仅统计二○二一年，包括半导体、电子零组件、汽车工业等产业在内，就有十四家上市柜公司发生重大资安事件，成为骇客攻击目标。

防毒业者观察到，网站资讯安全是保障企业网站安全的第一道防线，包括金融、电商、制造等企业服务网站，都可能面临如同去年发生的「密码撞库」甚至是「密码喷洒」的攻击，使客户与企业蒙受重大损失，再加上在疫情的催化下，例如过往专注实体铺货的零售业者，纷纷往电商平台、架设购物官网等全通路虚实融合（ＯＭＯ）发展，数位化脚步加快，也凸显出资安升级之必要。

再来是新一代行动通讯技术５Ｇ低延迟、高速率的优势，是加速公营、民营企业转型的催化剂，也帮助企业往工业四．○与智慧制造相关技术的推进。许多制造产业、半导体厂房内的工控系统已从单机走向互联、从封闭走向开放、再从自动化走向智慧化，当ＩＴ与ＯＴ之间的疆界日渐模糊，企业对于资安的防御思维必须转变，若有网安破口出现，将可能对企业带来无可挽回的伤害。

半导体资安标准出台

另外，随着半导体需求大增，国内掀起空前的投资热潮，正要兴建的半导体厂更高达二○座，为提升产业供应链安全，耗时三年研究的资安标准SEMI E187便应运而生，结合产、官、学三方力量，以台积电为首，还邀集国际大厂微软、思科、封测厂日月光投控、ＩＤＭ厂鸿海等半导体、资安领域企业响应加入，此标准是少数由台湾主导制定的全球性产业标准之一，涵盖四大层面：作业系统规范、网路安全相关、端点保护及资讯安全监控，今年一月上路后，相关供应链的资安落实将成为「标配」。换句话说，未来国际品牌厂极有可能以此标准，要求制造业者强化资安防护，若不遵守还可能因此失去供应链资格。（全文未完）

全文及图表请见《先探投资周刊2205期精彩当期内文转载》