勤業眾信打造世界級的資安科技暨鑑識中心
導入TAF認證、建立領導品牌優勢
現代資訊科技的發達為大眾的日常生活與工作帶來了極大的便利,但成為潛藏安全風險和犯罪行為的溫床。勤業眾信(Deloitte)聯合會計師事務所率先投入建立資安科技暨鑑識中心,成為民間機構與勤業眾信亞太區的領頭羊。
Deloitte 勤業眾信
在全球擁有150多個據點和28萬多名員工的Deloitte以傳統審計業務起家,但近年來顧問業務迅速成長,兩者的營收佔比已不相上下,在資安顧問業務的表現尤其出色,除了被知名市場研究公司Gartner連續6年評比為第一名的資安顧問公司,目前全球資安顧問人數已超過21,000人。
身為Deloitte台灣據點的勤業眾信共有超過4千名員工,同時也是全台灣規模最大、人數也最多的資安與鑑識調查顧問公司,相關服務的人員編制約1百人,包含提供資安諮詢的資安顧問、調查弊案和營業秘密的鑑識服務專家,以及負責數位鑑識與物聯網、App資安檢測的實驗室人員。目前取得TAF認證資格主要區分為兩大區塊:
- ISO/IEC 17025測試實驗室,測試項目為「行動應用App基本資安檢測項目」、「物聯網資安認驗證制度認可實驗室檢測項目」與「儲存媒體之(數位)鑑識科學試驗」。
- ISO/IEC 17043 能力試驗執行機構,試驗項目為「數位鑑識能力試驗」。
長期深耕、認證加持專業力
勤業眾信聯合會計師事務所資安科技暨鑑識中心的發展可回溯至1996年,當時電腦應用開始大量普及到各行各業,協助會計師確認電子資料的正確性就成了基本的工作項目。到了2005年左右,勤業眾信就開始協助進行國外案例的鑑識服務。
2012年是資安科技暨鑑識中心正式成立的前置期,歷經兩年的準備,勤業眾信在2014年正式取得ISO/IEC 17025測試實驗室認證資格(測試項目: 儲存媒體之鑑識科學試驗),僅次於法務部調查局,成為台灣第二個獲得TAF鑑識科學試驗認證的機構,同時也是台灣第一座民營的資安鑑識實驗室。
2016年取得TAF的ISO/IEC 17043 能力試驗執行機構認證,則讓勤業眾信成為亞洲民間第一家及全台唯一的「數位鑑識領域之能力試驗執行機構」,在此之前取得相同認證資格的機構皆為政府單位。
持續認證領域的拓展,勤業眾信又分別於2016年及2018年取得TAF「行動應用App基本資安檢測」和「物聯網設備測試」增列項目之實驗室認證資格。
必須注意的是,許多資安廠商都宣稱可提供數位鑑識服務,但真正合格的數位鑑識要能提供訴訟可用的資源,有無取得認證資格的差別高低立見。除了法律仲裁,鑑識的目的之一還包括防制犯罪,例如許多企業都有內部調查的需求。
勤業眾信風險諮詢服務執行副總經理曾韵表示:「數位鑑識的效力與法院有關,唯有取得認證資格,做出來的鑑識才有可能被司法體系接受。我們目前是民間唯一的地方性鑑定機關,可以承接法院囑託鑑定,包括數位鑑識與鑑識會計。」
拓展新局,鎖定App與IOT資安檢測
除了沿續Deloitte在全球發展顧問服務的策略,勤業眾信在台灣也緊隨政府的政策拓展資安測試服務,例如:「行動應用App基本資安檢測實驗室」和「物聯網資安認驗證制度認可實驗室」認證。
物聯網是新興市場,資安課題更是嶄新挑戰,勤業眾信早在2018年9月就舉辦資安攻防展演,以居家空間的實體場景,解析駭客如何透過萬物互聯來突破安控與防護,找到攻擊企業及家庭網路的門戶,藉以竊取敏感性資料、操控設備、發動分散式阻斷服務攻擊(DDoS)等。
勤業眾信風險諮詢服務協理陳威棋表示:「物聯網和工控資安是近期兩大焦點,Deloitte今年成立亞太區聯盟,台灣則脫穎而出成為領頭羊,關鍵就在政府力推物聯網和工控的政策,以及台灣身為高科技製造業重鎮的角色。台灣做為全球Deloitte唯一取得TAF認證的據點,將協助Deloitte亞太區其他據點建立實驗室、取得國際認證,並廣為分享產品檢測技術和實驗室維運等實務經驗。」
取得認證的兩年以來,由勤業眾信測試實驗室完成檢測的行動應用App已累積達數百支,其中有9成客戶因法令規範或上下游廠商要求而送測,包括銀行、保險、證券等金融機構,以及為了讓客戶安心而主動送測的電商業者。
與TAF緊密合作,建立領先優勢
營運實驗室的投資很可觀,必須考量市場需求和政策參與,這也是當初申請「行動應用App基本資安檢測實驗室」和「物聯網資安認驗證制度認可實驗室」的動機之一。
然而,物聯網市場仍在萌芽初期,相關設備極為多元化,政府目前只發布了影像監控系統之資安測試規範,但考量未來的市場潛能,以及人才培育的時程,搶先參與仍是勤業眾信建立領導品牌、提高進入門檻的策略,以「行動應用App基本資安檢測實驗室」項目為例,勤業眾信是第一批取得TAF認證的測試實驗室。
積極進取的策略,也加深了TAF和勤業眾信的夥伴關係。舉例來說,勤業眾信聯合會計師事務所全所取得ISO 27001資訊安全管理系統驗證,就是由獲得TAF認證的驗證機構來執行考核。此外,參與TAF和主管機關的認證方案,都是雙方透過認證建立政府與民間雙贏的實績。
曾韵說:「對於數位鑑識而言,我們很在乎認證機構是否有合格專家來檢視我們的作法,我們保持密切互動,希望持續強化我們的認證資格,進而擴大服務範圍。」
以中立贏得信任,以人才優化經營
獨立性原本就是事務所的基本守則之一,以這項特質執行數位鑑識工作特別有綜效。勤業眾信風險諮詢服務協理劉婉蓉表示,數位鑑識的案例各不相同,共通點是透過勤業眾信提出中立的鑑識報告來釐清雙方的責任,找出和解之道,避免曠日廢時的訴訟過程。
舉例來說,某家客戶經常面臨電腦犯罪的問題,但訴訟從來沒贏過,後來經由勤業眾信提供的數位鑑識報告,以中立公正的觀點來說明案件細節,這家客戶第一次打贏電腦犯罪的訴訟案,客戶因而極為信任勤業眾信,就連資訊部門主管的離職交接,也要求提供協助。
勤業眾信風險諮詢服務協理陳威棋說明,營運實驗室最大的挑戰就是人,選才及留才都是關鍵,實驗室人員本身必須具備專業知識,還要能遵循實驗室的紀律及標準作業程序,要在工作和紀律之間保持平衡其實並不容易。
但這也突顯了TAF認證帶來的效益,由於作業標準化及成熟化,培訓新人特別有成效,上手速度更快,就連招募人才時,勤業眾信在實驗室的投注與成熟度也成為吸引條件。
放眼今年,勤業眾信評估參與更多新計畫,例如:智慧連網產品、工控安全、以及強化國外已有標準的資安領域。而在數位鑑識部分,也會持續評估擴大服務項目,像是對岸或國外已有法令及對應的鑑識項目。而在持續擴大服務、強化認證資格的過程裡,TAF也將持續做為勤業眾信尋求協助、諮詢意見的最佳夥伴。
小檔案
勤業眾信聯合會計師事務所資安科技暨鑑識分析中心
成立時間:2014年
TAF認證:
- 數位鑑識測試實驗室
- 能力試驗執行機構
- 行動應用App基本資安檢測實驗室
- 物聯網資安認驗證制度認可實驗室
業務內容:
- 數位鑑識服務
- 能力試驗活動
- 數位鑑識工具
- 行動應用App資安檢測
- 物聯網設備資安檢測
網址:請參考相關連結
