臺灣安全監控市場資安現狀（下）

數年前，國內為了提高安控產品安全，曾辦理補助計畫，補助每一機型6萬元的費用來進行臺灣資通產業標準協會檢測，然補助期結束後，每一款產品的測試費回到20萬元，加上市場又出現電腦公會的 IoT 認證，不同認證間互不承認，讓市場感到困惑且困擾。

以CNS 16120 為例，其檢測流程幾乎和之前作法雷同，費用也需20萬元，但業者發現不管是協會做的檢測、或公會做的IoT測試，都不能「轉證」，必須重新來一次。在安防產品少量多樣的生產樣態下，不斷為不同機型支付高額的檢測費，對中小企業產生極大壓力，而且產品韌體會持續更新，又得每次送驗，造成許多廠商最後放棄送驗。

國內外檢測發展歷程與趨勢

現階段全球安控的「非中製證明」趨勢，有臺灣廠商表示公共工程十之八九都會要求，只是資安和去中化雖有交集，但並不完全相等，從企業立場還是希望能有一套真正能防堵駭客、持續檢測更新的機制，而不僅是取得一紙證書而已。因為有些中國廠商的確會特別為了臺灣市場修改韌體，做出「無後門」或可過檢測的版本，單次檢測無法保證往後的產品也都安全。
 

業者舉出近期高CP值檢測方法，就是產品交給實驗室只做單項測試，例如網頁弱點掃描或通訊介面接口掃描，每項只要2.5萬到 3萬元，而非完整認證動輒20萬元起跳。未來若標案單位要求在得標後提出掃描報告，這種方法就得以滿足；也較貼近廠商出貨時的「最新韌體」，確保客戶買到的是真正通過測試的版本。業者也期待未來能發展類似「官方租用海外或本土的資安測試平台」的模式，讓廠商自己在平台上掃描，隨時調整缺陷，最後只要付較低的費用就能生成一份報告。

圖1：接軌全球市場示意圖
資料來源：freepik

國際接軌產業建議

針對國際市場接軌，業者指出，歐盟或美國有時會關注一些基礎資安要求（例如密碼強度、未預設弱密碼、基本防駭功能），但沒有像國內多套並存且不相容的做法，倘若 CNS 16120 或其他臺灣認證最終能國際互認，對外銷市場絕對大有幫助。但若還是僅供「內部使用」，與歐美法規標準不相通，對外銷導向的廠商來說實在很難接受，因為與其花錢進行國內認證，更傾向選擇國際通用的資安掃描工具自行檢驗。

整體來說，許多業者反應，過去在資安檢測方面，從臺灣資通產業標準協會—IoT—CNS 16120的移轉、費用與測試重疊等因素下，走的蠻辛苦。然而，市場趨勢正逐漸轉向「就近掃描、少量機種、輕量作業」的弱點掃描式要求，未來如何兼顧資安認證，以及讓檢測過程更符合臺灣安控產業生態，相關單位應多參考業界意見，朝向費用合理化、測試機制透明化與與國際接軌的方向前進，避免讓測試報告淪為不合時宜的認證文書。

臺灣物聯網資安標準從 2017 年建立「產業標準」開始，到 2019 年升級為 CNS 16120國家標準，期間因證書費用爭議、審查流程差異、去中化、實驗室資格管理等因素，過程不算順遂；而公會與協會雙軌並存，雖讓廠商能各取所需，卻也造成標準規範、檢測文件與證書費的市場混亂。其實對廠商而言，最終的抉擇往往取決於標案需求：若只要檢測報告，可能無需申請昂貴證書；若規範硬性要求證書，就只能選擇其中一家認證單位，或在效率與費用間掙扎衡量。

儘管如此，這套機制還是協助臺灣安控市場建立基本的資安防線，促成更多業者意識「聯網設備的資安是不可或缺的基礎成本」，同時也在整個產業供應鏈中，激發出更深遠的去中化與自主化思考。

隨著國際供應鏈對安控產品透明度要求升高，我們必須思考如何提高安控產品中可信賴關鍵零組件的比例，或將其納入應施檢項目，並推動政府敏感機關和關鍵基礎設施（CI）優先採購可信賴產品。同時，也應要求廠商揭露軟硬體組成（如BOM、SBOM），以防止掛羊頭賣狗肉的情況發生，進而維護國安和市場秩序，這些做法都將影響本土安控業者未來的發展與競爭優勢。

封面圖片來源：本文作者自 ChatGPT生成
參考資料來源：資策會數轉院團隊整理