歐盟CRA將上路 資安院啟動漏洞獵捕活動 提升臺廠資安合規意識

隨着歐洲「歐盟韌性法案」（CRA）即將上路，數發部旗下國家資通安全研究院今（10）日宣佈啓動「資安漏洞獵捕活動」，鼓勵國內大廠搶先佈局資安合規，從「被動防禦」轉變爲「主動風險發掘」，進而提升臺灣電子產品在歐美市場的安全信任度。

首屆「資安漏洞獵捕活動」匯聚研華科技、亞旭電腦、華碩科技、華芸科技、正文科技、威強電工業電腦、四零四科技、威聯通科技、羣暉科技、兆勤科技與勤晁科技等11家國內指標性大廠，針對網通設備、NAS、工業網通設備等20組關鍵產品進行實測。

資安院表示，活動自12月1日起跑後，已吸引超過150位本土資安研究員投入，參與廠商投入高達720萬元獎金。活動起跑後反應熱烈，截至12月5日爲止，已陸續收到3件初步通報案件，顯示本次獵捕活動已展現初期成效。

數發部資安署長蔡福隆指出，今年參與的臺灣網通廠總共是11家，期望明年再舉辦這項活動時，參與的廠商可達50家，帶動臺灣廠商愈來愈重視產品資訊安全性，也成爲值得大家信賴的產品。

資安院說明，此次活動採用國際通用的「紅（攻擊）–藍（防守）–紫（裁判）」協作模式，資安院擔任「紫隊」角色，負責制定漏洞驗證規則、審查漏洞有效性，並進行爭議仲裁。透過資安院建立的「挖漏洞、修漏洞、賞獎金」正向循環機制，不僅確保過程公平透明，更協助企業建立符合國際規範的產品安全治理體系。

資安院長林盈達表示，本次活動展現產業界與資安社羣共同強化臺灣產品資安的決心，爲鼓勵頂尖好手並接軌國際，獎金髮放將依循國際通用的漏洞風險分級標準，針對高風險情境，如竊取機密資料或奪取系統控制權等，更設有加碼獎金。

蔡福隆強調，漏洞獵捕活動是我國產品資安計劃的重要一環，未來將持續透過公私協力模式推動產品資安，並將此活動常態化舉辦，讓更多國內廠商參與，使MIT從「Made in Taiwan」邁向「Make It Trusted」，讓臺灣製造代表品質保證，也代表安全可信，成爲全球供應鏈中的重要價值標誌。

數發部旗下國家資通安全研究院今（10）日宣佈啓動「資安漏洞獵捕活動」。圖左爲數發部資安署長蔡福隆，圖右爲資安院長林盈達。記者馬瑞璇／攝影