曾捲入跨國資安風暴，合勤如何花7年時間轉型？絕不掉進「費用」框架裡

產品擴及全球、年營收超過台幣300億元的網通廠合勤Zyxel，如何從資安風暴裡脫身，甚至完成「資安轉型」？

「這件事之後，能不能讓我們更在意資安？然後讓它變成是我們刻骨銘心的、決心改變的那個啟動器，」合勤投控資安長游政卿懇切地說著。

2016年愛爾蘭電信、德國電信相繼遭遇Mirai惡意程式入侵，造成大規模路由器癱瘓，當中包括合勤產品，引發軒然大波，隨著駭客炫技得逞之後揚長而去，合勤產品安全性，受到前所未有的挑戰。

時隔七年，游政卿談起這件讓所有人都睡不著覺的攻擊事件，語氣不僅淡定，甚至透出一種「打斷手骨顛倒勇」的強悍篤定。

三三四矩陣式盤整資安現況

「每一個危機都是前進的動力，」游政卿回憶，以前服務客戶，探討的是如何完成客戶期待的產品規格，資安項目從來不是焦點，因此，合勤全面反思產品策略，雖然變革不是一蹴可幾，但要讓團隊意識的火苗引燃，「大家要能注目這個亮點，因為這個亮點不是安全，而是生意！把危機變成轉機，再化為商機，我們要讓資訊安全，變成商務競爭的要素。」

創立於1989年的合勤，是台灣網通設備的佼佼者，以投控為母公司，下轄三家子公司合勤科技、兆勤科技和盟創科技，分別運營品牌、通路和代工三大領域，深耕全球電信服務產業，銷售區域遍及美洲、中國、東南亞、歐洲及中東等地。

2016年資安事件後，合勤順勢調整產品體質，2017年營收自242億元下滑至191億元，但很快就在新品接續下，2018、2019年回彈至222億元、240億元，並在宅經濟催動中，連續三年刷新紀錄，2022年突破300億大關，達305.15億元，年增 18.8％。

究竟是什麼樣的資安策略，讓合勤產品如虎添翼？可從三個防衛面向、三種攻擊樣態、四個關鍵資產觀察。

「第一步是了解自家企業的體質，包括業務特質是什麼，資產有哪些，價值分別是什麼，用駭客角度來看自己：為什麼是一隻肥羊？哪裡值錢？在把資源往該處部署，」游政卿表示。

製造業資安有別於其他產業，防衛區域可分為IT、OT、IoT，分別是傳統戰場的中央資訊軟體系統（Information Technology），舊領域、需要新概念的工廠運營設備機台（Operational Technology），以及新興的IoT連網相關領域（ Internet of Things）。

現在製造業面臨資安大議題，是因為智慧製造的推進，以前封閉的工廠現在要聯網對外，數據擷取，情報分析，資料拋接，讓邊界變得模糊。

這如同過去進入無塵室需要經過很多潔淨關卡，必須要穿無塵衣才可以進入。「但是OT跟IT的結合，就如同可以不經過層層的保護防護，他穿著便服就可以進入，因此需要不同的防衛設計，」游政卿分析。

攻擊樣態方面，分成三種類型：金錢勒索、蓄意破壞、潛伏，分別就像土匪、強盜、間諜，合勤分別設計不同的方法抵禦，包括戰術應變、軟體監測、行為分析、威脅情資、實戰演練等。

此外盤點四大關鍵資產，龐雜而重要，而且無法外包他人，其內涵包括關鍵內容、關鍵設備、關鍵系統、關鍵員工，所有數位資產搭配一個個符合各自重要性的資訊架構，如同放上一個足堪託付的「鎖頭」，再將「鑰匙」託付給不同安全等級的人或系統，差異規劃，成套管理。

「資安就是不能一視同仁，」游政卿直率地說。

絕不讓資安掉進「費用」框架裡

資訊背景的游政卿，當了大半輩子的資訊長，懂得數位科技對團隊認知帶來的挑戰，更懂得其對組織帶來的價值，現在則全面應用到資安領域。

他在超過30年的經歷之中，明白「資訊技術」與「產品團隊」必須緊密配合，「資訊安全」也不該是坊間解讀的「稽核角色」。

合勤認為資安不應該是成本中心，它有存在的目的，所以一定要跟企業需求、營業目標綁在一起，所以合勤不是資安做得好，而是產品做得好、服務做得好、業務做得好。

「合勤絕對不會讓資安變成『費用』，如果掉進費用的框架裡，資安長耗費再多的唇舌，都沒有辦法把它活化，因為它就是花掉的錢，」游政卿直言。

合勤資安戰略規劃，就是透過中長期的三階段連續作為，讓資安項目從費用中心轉化至成本中心，再轉化成機會中心、利潤中心。

首先合勤重新盤整產品與企業本身，在不同地區需要符合的法律規範，包括ISO27001（資訊安全管理國際標準）、GDPR（歐盟個人資料保護規則）等。同步研究同業遭遇的駭客事件，估算其損害，讓團隊明白資安議題的風險，主動將防衛項目加入成本之中。

第二階段則是配合業務發展，主動申請更多資安相關證照，讓業務團隊更好的說服客戶，包括BSI TR-03148（德國聯邦資訊安全局技術指南）、CMMC 2.0（美國國防部資安成熟度模型認證）等，讓資安規格成為業務利基點，轉為機會中心。

最後則是將資安部門拆分獨立成子公司黑貓資訊，將經驗轉化為服務，直接進入市場應證能力，果然發揮原生製造業的優勢，第一個客戶就是台積電。

游政卿笑著說，「不管是對內溝通、對外溝通，我說我們資安能力有多好，好到『零攻破』，但人家不一定信啊！那不如說資安推進，為業務帶來什麼貢獻，甚至是帶進多少營收。」

資安長一大任務：說人話

為了完成大戰略方向，合勤在2017年4月成立PSIRT產品資安事件處理小組，其為橫向編組的虛擬組織，四十多位成員包括研發、產品經理、業務行銷等，負責討論各式資安議題，並由資訊暨產品安全管理處負責執行，此資安專責團隊現有超過20人。

2019年，合勤提高策略階級，新設資安長一職，游政卿直屬董事長，負責制定集團資訊暨產品安全政策，提供資源與審查重要資安措施。

「資安團隊需要設定標準的應急回應程序，產品團隊如同飛機上的飛行員，艙內燈號閃爍示警時，旁邊得有一本守則，知道翻到哪一頁執行，排除困難」。

游政卿每每談到議題癥結，就會舉出各種妙喻，讓人一聽就懂，他笑著說，「內部溝通時，我也是這樣說給大家聽，資安長的一大任務就是『說人話』。」

關於讓他刻骨銘心的那件事，隨著德國電信接連在2017年、2020年安全路由器認證之後，成功度過產品安全難關，近期積極的資安作為，甚至成為品牌的核心競爭力，更讓合勤成為製造業仿效取經的模範生。

「危機變轉機，又變商機，過程很需要時間，但也成為組織改善進步，一個非常大的外部動力。」

游政卿帶領合勤資安團隊做到了。

【本文摘自遠見雜誌5月號；更多文章請上遠見雜誌官網：https://www.gvm.com.tw/】