隨著新科技發展，全球數位環境面臨複雜的資安威脅。資安所負責集團資安治理與前瞻研究，專注於資安框架、後量子密碼學、AI安全、跨域IT／OT安全等方向。以Security by design為核心，致力將安全的DNA注入日常維運與智慧製造等關鍵領域，為產業數位轉型提供安全技術支持，推動智慧、安全及互聯的未來。

在這個萬物皆聯網的時代，只要有一個角落、一個環節的安全不夠到位，就可能成為攻擊漏洞，因此任何創新技術、產品及應用的推進，皆須從一開始就融入「安全設計（Security by design）」的概念。鴻海研究院資通安全研究所的成立，即是著眼透過與時俱進的資通安全科技研究，賦能鴻海產品具備資安能力，以可信任的服務與產品提升競爭力，同時協助集團於F3.0轉型升級過程中，有效降低新興網路攻擊的衝擊，保護集團資產，並推動資安治理，打造令人信賴的數位科技環境，建立安全企業的形象。

在此前提下，資安所致力於研究各項前瞻資安理論及科技，近期研究大致可分為三大範疇：資訊安全治理（Information Security Governance）、後量子密碼（Post – quantum cryptography, PQC），以及運營技術安全（Operational Technology Security, OT）。鴻海研究院執行長兼資安所所長李維斌強調：「這些皆是資安領域未來3到7年的重要發展方向。」

從管理到治理：資安革命的全新視角與防線升級

資安所的治理研究團隊，除了研究最新的資安框架與標準，目前也扮演集團資安治理委員會秘書處之角色，其中，李維斌同時也兼任集團資安長，帶領集團將過去資安組織層級提升到資安治理。藉由秘書處協助集團制定資安治理策略及統一的遵循指引，並定期向董事會及資安治理委員會彙報資安治理議題、方向及成效。但要徹底改變集團面對資安威脅的姿態，不能單靠下達命令強迫改變，而是需要找出一個能團結全公司上下的焦點，並以此為起點，在完善的過程中逐步改變每個人的資安意識，鴻海作為有著悠久歷史的大型企業，資安習慣不可能像按開關一般說變就變的一蹴可幾。

因集團過於龐大且多元，客戶關注的焦點也會影響整體的機制運作，所以資安所採以終為始的策略「由果反推因」，以當前最緊迫，最能引起全公司上下重視的勒索軟體事件應變為核心，制定勒索軟體應變標準綱領（Ransomware SOG）、優化資安事件分級原則、建立關鍵性資安指標、建全漏洞查處流程等，藉由統一性與流程化的做法，抓緊關鍵細節，以強化事件處理及應變能力。這不僅涉及技術層面，還包括員工的日常操作習慣，只要専注做好這件事，將產生足夠的影響力，並引發連鎖反應，最終影響到整個公司的資安文化。因此，這是改變資安文化一個事半功倍的切入點。

為此，李維斌說明，資安治理涉及將最新的安全架構和觀念融入公司營運中，必須在資安治理的高度下，才能有效將變革逐步滲透到公司的每個角落，並團結所有的專業，才能在面對資安挑戰時建立更強大、更有韌性的組織。因此，資安所跳脫常被誤解為IT主導的資安管理思維，導入資安治理為框架的全方位協作模式，並整合各部門的專業知識，明確界定所有利害關係人的角色和責任，將資安考量納入核心業務決策流程。

除了優化內部基本功，外部威脅情資亦是企業資安重要的一環。所以資安所與TWCERT合作，組織鴻海資安情資分享聯盟，藉由建立跨部門溝通機制，將資安績效與組織目標緊密結合，並把資安轉變為一種共同的組織責任，以強化情資分享機制，建立全面性的資安防禦布局，達到「知己知彼，百戰不殆」，完善資安治理並達到數位韌性。

PQC研究：納入NIST標準化評估

由於量子電腦能高效解決傳統加密算法所依賴的質因數分解和離散對數等複雜的數學問題，使得RSA等傳統的加密方法面臨破解風險。可能導致數據洩露、通信不安全和基礎設施攻擊等重大影響。即使量子電腦尚未實現，現有系統仍面臨風險，因攻擊者可預測量子攻擊手段並積累數據，準備在量子電腦實現後迅速破解。所以，提前採取PQC技術來保護數據安全至關重要。因此，PQC是資安所的一個重點研究領域，以引領量子遷移的計畫，並維護集團內部或是產品的保密需求。

因應量子計算帶來的衝擊，包括美國政府在內的許多機構已開始討論如何進行PQC遷移，也就是將容易受到量子電腦衝擊的密碼系統，遷移到PQC的系統。簡而言之，PQC的目標就是要開發能抵抗量子計算機攻擊的加密算法，資安所的研究團隊致力於此方面研究，並已提交相關技術論文報告且獲得國際肯定。例如，資安所與加拿大BTQ Technologies Corp.合作啟動的PQC標準化研究，於2023年6月1日向NIS T提交研究報告，以響應其「後量子密碼學標準化（Call for Additional Digital Signature Schemes for the Post-Quantum Cryptography Standardization Process）」的需求。相關研究報告於當年7月獲得刊登，顯示團隊提出的PQC方法已被NIST納入標準化評估過程。這標誌著資安所在該領域取得的進展，為未來標準奠定基礎。

「這項成果，代表資安所在PQC領域的超前部署，也顯示我們在此一技術領域已有一定掌握。」李維斌指出，資安所將持續與集團事業群合作，推進PQC技術的優化及全方位應用於集團的資通系統運作及產品中。

跨越邊界的防護：IT與OT融合下的新型態安全挑戰

傳統上，OT安全常聽到的是工業控制系統（Industrial Control System, ICS）和監控和資料收集系統（Super v i s o r yControl and Data Acquisition, SCADA）。但隨著技術發展，OT現在包括了更廣泛的物理設備和流程控制系統。在這些領域中，資訊技術（IT）和運營技術（OT）正在迅速融合，創造新的安全挑戰。這些領域對反應時間和操作安全都非常敏感，而IT與OT的融合也使得系統攻擊面隨之擴大，增加防禦的難度。這些都是OT安全面臨的核心挑戰。

OT安全的範圍在現代技術環境中已大大擴展，因為集團推動的EV（電動車）、智慧製造和智慧城市三大平台都涉及了大量數位技術的整合和協同運作，而OT安全將保證運作流暢及安全無虞，因此將這些領域都視為OT安全的重要範疇。

李維斌舉例，對於以製造見長的鴻海而言，透過數位孿生（Digital Twin）技術創建實體工廠的虛擬副本，允許工作人員在建造實體工廠之前，可以預先在數位空間中模擬並優化工廠的運作。如此不僅大幅降低成本，提高建設效率，如果智慧製造平台也能在設計階段便將安全因素融入工廠設計中（Security by Design），就能夠預先識別潛在的安全風險，並在虛擬環境中測試和優化安全措施。這種方法不僅能夠提高整體安全性，還能夠顯著減少後期調整和持續精進的成本。

資安所將與三大平台積極合作，共創一個安全、高效、可靠的生態系統。這不僅將大大提升鴻海的競爭力，還將為整個行業樹立新的安全典範。「我們相信，只有將安全深度融入每個技術創新的過程中，才能在這個日益複雜的數位世界中實現真正可持續的韌性能力。」李維斌說。

電動車AI化與安全新挑戰：一場複雜的博弈

在電動車的快速發展，使其成為一個高度複雜的軟體與硬體整合系統，並連接至龐大的數位生態系。這使得電動車面臨著前所未有的安全挑戰。隨著車輛壽命延長和軟體更新頻繁，確保車輛在整個生命週期中的安全性，以及建立有效的安全更新機制，將是未來電動車產業的核心課題。電動車是鴻海3+3新事業的重點，安全議題更是重中之重，不能妥協也不能想著亡羊補牢，須事先做好安全的風險管理。

為了讓傳統研究資安的專業人員深入了解電動車的複雜軟硬體系統，資安所攜手美國麻省理工學院（MIT）Media Lab，共同打造「EV π實證平台」。這是一個基於MIH開放平台的開源驗證平台，專為研究電動車與自駕車的資安問題而設計。

EV π不僅是一個硬體平台，更是一個可以高度整合的軟硬體系統。它實現資安、AI及新世代通訊等多領域技術的無縫結合，並採用模組化設計，方便研究人員靈活配置和擴展。平台的軟體與自駕系統皆為開源，使用者可自由移植功能元件和演算法，這使得EV π成為了全球首個開放且功能完備的電動車資安研究平台。

EV π的獨特之處在於它不僅能模擬真實的電動車環境，還能夠深入探究AI在電動車中的安全問題。電動車AI化是一把雙刃劍，既帶來了巨大的發展機遇，也把攻擊者與防禦者鎖在一個快速發展的貓捉老鼠遊戲。相較於傳統的軟體系統，AI模型的行為更難以預測和解釋。黑箱模型的特性使得使用者很難準確地了解AI模型在做出決策時的內在邏輯，這為攻擊者提供了更多的可乘之機。此外，AI模型的訓練數據也可能被汙染，導致模型產生偏見或漏洞，進而影響行車安全。

AI的引入增加電動車系統的複雜性，成為攻防兩端的工具，若自動駕駛車輛的AI系統被惡意攻擊，可能導致嚴重的安全事故，人命關天，因此在當前AI快速發展下，如何保障AI系統的安全，成為資安所的研究重要方向，涵蓋數據的安全性、系統的強韌性（Robustness），以及防止AI系統被攻擊或誤判的技術等。目前研究人員正在EV π上進行AI攻擊和防禦實驗，例如：

1. 感知系統的欺騙攻擊：探索如何透過欺騙感知系統的輸入來誤導AI做出錯誤判斷。

2. AI控制系統的劫持：研究如何透過攻擊AI控制系統來控制車輛的行駛。

3. 加強AI模型的安全性：採用更安全的AI模型，加強對訓練數據的清洗和保護，定期對模型進行安全評估。

EV π的開放性為全球的資安研究人員提供寶貴的工具，開發出更安全、更可靠的電動車AI系統，從而推動整個電動車產業的發展。此外，EV π也為學術界和產業界搭建一個交流合作的平台，促進跨領域的技術創新。

資安所希望透過EV π平台，打造一個全球性的電動車資安研究社區。這個社區將為研究人員提供一個共享資源、交流經驗、共同進步的平台。透過社群的力量，相信EV π平台將不斷演進，為電動車的安全保駕護航。

EV設計中，安全規範和創新設計是相輔相成的。「唯有做好技術的安全防護、提高AI系統的透明度、以及解決相關的倫理和法規問題，我們才能夠安心享受AI帶來的便利和效益。」李維斌說，只有在確保安全的前提下，才能實現創新，提升用戶體驗，這是一個需要長期探索和不斷優化的過程。