數位信任是基於對技術發展設定合理、可延續、可信任的目標,因此需要設立相關的規範,規範的對象並非僅限於企業「法人實體」,而是涵蓋企業內外部的利害關係人。
數位信任是基於對技術發展設定合理、可延續、可信任的目標,因此需要設立相關的規範,規範的對象並非僅限於企業「法人實體」,而是涵蓋企業內外部的利害關係人,例如技術開發人員、產品開發人員、業務行銷人員、IT部門,以及經營管理階層;而外部的對象主要包含政府與企業產品服務的使用者(一般來說是社會大眾),企業在制定商業模式之前就應評估數位產品如何使用可信任的技術與系統來完成利害關係人管理的目標。
建立安全技術與可信賴的科技
如果服務或產品無法以可預測、可靠和安全的方式運行,用戶將拒絕提供資料/數據或停止使用。因此,服務和產品的可靠性是一個人對服務提供者建立信任的首要之務。對企業而言,技術安全與可靠性也能帶來競爭優勢,特別在科技限制多的地區,或特定市場針對可信任技術提出更多法規要求時更是如此。
以Google為例,其最著名的為Google Cloud Architecture Framework,透過融入資安產品設計為基礎,採用由產品、服務、架構、最佳作法、控制架構來建構雲端服務,並提供如reCAPTCHA Enterprise、Cloud Armor、Web Risk、Apigee等套件對抗線上詐欺行為。
另一案例是微軟Microsoft Azure Well-Architected Framework,微軟指出,駭客可能現在可自由地利用系統設定、操作作法和系統使用者的社交習慣中的弱點進行破壞,雲端服務商必須符合客戶內部與所在國家的IT法規需求,舉例而言,當運算環境從客戶控制的資料中心搬移至雲端時,資安責任也會轉移,企業能將這些責任轉移至Azure雲端服務,由外部雲端服務來協助強化資安防禦力。
將數位信任視為企業ESG策略的一環
若從公司治理層面來看,企業應主動揭露其資安策略,以當作積極公司治理作為的一部分。當前公司治理已從「管理層的管理」延伸到「資料/數據的管理」,顧客、供應商、投資人、政府、協作夥伴等各方利害關係人開始檢視一家企業的資安韌性,積極的業者會建立從業務部門到企業供應鏈各營運環節的評比機制,部分國際企業甚至預測未來資安自評與揭露將成為各國政府在公司治理上的新規定。
若從社會層面來看,資安看似與其並無直接關聯,但可用社會資本的角度來檢視,若一家公司的高敏感性資料/數據,如發生客戶個資洩漏,可能瞬間摧毀長期累積的社會資本,未來在重建其聲譽與利害關係人合作時將投入更多時間資源,形成無形的社會負債。
因此,由公司治理邁向數位治理時,雖然兩者不同,但仍有重疊之處,除資安事件與資安投資主動揭露外,企業也可適時說明其數位技術的原理與可解釋性,降低社會與主管機關的疑慮,甚至成為特定市場認證的標竿。由於當前數位轉型、氣候變遷、風險韌性、安全信任、工作模式改變是全球企業在未來五年必將面臨的五大議題,這些面向同時牽涉到ESG策略,也牽涉到企業使用科技解決這些問題時,是否能夠為外界所信任。
國際組織與企業在數位治理相關的規範也相當多元,部分規範雖然不具強制性,但可能為其他主管機關作為往後制定相關法規與政策的參考,常見的有微軟的「負責任人工智慧標準」、OECD的「人工智慧準則」、美國國家標準暨技術研究院發布的人工智慧風險框架等,對企業而言,最重要的是一個通用框架,讓任何組織的利害關係人在使用科技面臨道德兩難時都能透過該框架做出決策。
同時,決策者也應協助社會大眾了解該企業如何在人權、正義、非歧視、隱私、代理權上如何平衡科技帶來的影響。以可解釋人工智慧為例,透過模型解釋方法讓人工智慧必須遵循的一系列AI原則,例如公平、透明和隱私,而可解釋性必須遵循這些原則,才能確保在全世界的組織和機構中實施和使用這些AI應用,降低疑慮。
擘劃數位信任發展藍圖
在確認數位科技的特質與擬定相關策略後,企業應著手建立數位信任藍圖(Digital Trust Roadmap),一方面辨認哪些技術是可信賴的,一方面也須評估各種技術在未來可能帶來的風險,並制定相關情境與解決方案。一套完善的數位信任藍圖至少包含四大項目:「目標訂定與領導階層推動」、「方案規劃設計與指派專責單位」、「整合部門共識並發展差異化作法」與「定期成效追蹤與改善」。
雖然歐盟GDPR與新加坡數位藍圖皆有提供指引,但企業仍須針對自己的產業種類與特質擬定自身藍圖。在目標訂定與領導階層推動部分,企業必須先獲得管理階層的支持,方有預算進行規劃。
因此,除了清晰的策略與願景,同業與異業的案例作法也應納入考量,同時評估建立數位信任機制如何整合至市場拓展、產品開發、業務行銷、法遵合規、財務規劃、創新研發、資訊安全等不同企業功能的成本效益。
至於在「方案規劃設計與指派專責單位」上,企業應設立數位信任差距評核機制/評量系統,來了解當前組織現狀與預期的落差。在評核機制上,應至少涵蓋衡量現狀的標準、對未來數位信任組織的願景、治理/風險/合規(GRC)量表,同時,若發生資安事件或是技術漏洞時,除需要有專責單位協助排除技術問題外,也需要設立與主管機關、投資人、社會大眾的溝通機制。由於許多數位科技的可解釋性無法說得太詳細,又需要讓人明瞭,因此平時做好溝通機制相當關鍵。其他包含培養組織資安文化、管理網路風險、強化董事會與管理層之間的日常溝通,這些機制不但能找出潛在影子IT與資安漏洞,未來要導入先進科技,如元宇宙相關技術時也能提供明確指引與作法。
「整合部門共識並發展差異化作法」需要零信任架的導入,2020年8月,美國國家標準暨技術研究院(NIST)發布了SP 800-207標準文件後,零信任作法從政府端蔓延至產業,成為當前資安新寵。
傳統上,各企業與部門多仰賴透過建立防火牆來設置防護邊界,但該模式在駭客攻擊猖獗與手法持續精進的前提,以及企業持續將內部資訊上雲轉型下,已不再適用於當前共享IT資源的環境。
零信任架構假設網路總是存在內外部威脅,任何用戶端或設備都是不可信的,企業需要使用整合的分割閘道器做為網路核心、建立網路分隔、投入網路後台集中管理,以及建立資料/數據蒐集網路,對於任何認定為關鍵資源者,存取前都要檢查使用者是否具備權限,企業應實施確認保護範圍、對應交易流量、建立零信任架構、建立零信任政策、監控和維護作為布局零信任資安的基礎。在零信任架構之下,各部門應對資安有共識,並且徹底地執行。
<本文作者:童啟晟現為資策會MIC資訊服務組、(資深產業分析師)>