荷蘭資安三角洲(HSD)日前率團來台參加2024台灣資安大會,總監布魯南(Joris den Bruinen)分享荷蘭資安三角洲結合企業、學術單位和政府共同推動資安的經驗。他在一場閉門會議中分享荷蘭資安三角洲獨特的「責任披露」制度,藉此快速找出網站資安漏洞與缺失,進一步提升網站的安全與韌性。
荷蘭資安三角洲(HSD)為非營利組織,2013年創立於海牙,目前逾300家資安公司進駐,其中包括來自台灣資安公司Keypasco、Lanner。海牙為許多國際組織的所在地,近年全力發展資安產業,在荷蘭資安三角洲的推動下,成為國際資安論壇重鎮,平均每年舉行近12場次國際資安論壇,國際資安專家來到海牙參加會議,與其他國家資安專家交流,也為當地旅遊、餐飲與觀光產業帶來人潮與錢潮。
國際資安論壇每年12場 海牙成為資安重鎮
荷蘭資安三角洲定期舉行資安論壇,為園區夥伴提供交流、切磋與合作機會,同時為需要資金的新創資安公司媒合創投和基金投資人,開拓市場壯大規模,此外也協助國際資安論壇籌畫者安排重量級資安專家擔任講者,而該資安園區內有眾多資安高手,成為最佳參與者。
荷蘭資安三角洲代表團包括荷蘭資安公司EclecticIQ等,希望開拓台灣的市場。布魯南表示,安全與經濟是一體兩面,荷蘭資安三角洲有雙重目標,一方面提升國家或全球資安韌性,另方面則是開拓資安產業商機,帶來經濟效益,具體策略就是打好資安產業基礎,強化資安產業生態系,為參與夥伴提升附加價值。
荷蘭資安三角洲希望與台灣資安研究機構例如工研院結盟,擴大雙邊的國際合作,提升資安韌性;同時歡迎台灣資安新創公司進駐荷蘭資安三角洲,一方面可接觸最新國際脈動,同時可以開拓歐洲市場。
荷蘭資安三角洲成立迄今10年,布魯南表示,「我們的存在,表示進駐的會員們肯定我們提供的價值,願意付費,這點我們感到很驕傲。」其次,有潛力快速成長的新創資安公司非常需要資金,在荷蘭資安三角洲協助下,去年幫助新創資安公司從創投基金獲得約1000萬歐元投資。
荷蘭「責任披露」主動揭漏洞 提升資安韌性
「荷蘭有很強的白帽駭客(ethical hacker)社群,荷蘭是全球第一個允許責任披露(responsible disclosure)的國家。」布魯南指出,沒有一個團體或企業的資安可以做到百分之百,以荷蘭三角洲為例,有一個責任披露制度,在一定條件下,白帽駭客若發現該官網有漏洞,可以電郵方式向該單位窗口舉報,協助發現問題並快速解決問題,在問題尚未解決之前,不得對外揭露這項漏洞。這個責任披露制度施行以來,已有許多白帽駭客主動向該單位負責舉報,協助解決資安漏洞,提升資安韌性。
這些白帽駭客是幫助組織、企業找出資安漏洞的專業駭客,不同於駭客犯罪集團以惡意手法攻擊企業網站竊取資料並勒索。負責任的披露制度允許白帽駭客在資安漏洞被惡意攻擊之前,先發掘漏洞,主動通知受影響的團體,由該團體進行檢驗與修補問題,該漏洞解決之後再對外揭露,並提出改善與防堵漏洞的方法。
布魯南解釋,「透過責任披露制度,組織或企業可以趁早發掘資安漏洞,化解危機,提升資安韌性,強化優勢;而不是讓大門打開,資安漏洞一直存在。」 (相關報導: 謝錦芳專欄:美中貿易戰2.0的虛與實 | 更多文章 )
台灣是全球受網路攻擊頻率最高的國家,資安產業對台灣是重中之重。每年因駭客攻擊或個資外洩的上市櫃公司家數越來越多,這些受駭企業以重大訊息說明,通常避重就輕,如果這些企業無法從缺失中記取教訓,防範未然,同樣的資安事件勢必再次發生。在台灣也有白帽駭客社群,隨著台灣資安產業逐漸茁壯,資安非營利組織可以參考荷蘭這項責任披露制度,從改善自家官網資安漏洞開始,具體提升資安韌性。
