碩天科技通過 CREST滲透測試 強化PowerPanel Cloud 雲服務的資安信心

隨著數位經濟時代來臨，「產品服務化」(Product-as-a-Service)成為製造商創新轉型的關鍵途徑。長年自行設計、生產與行銷「CyberPower」品牌電源保護產品的碩天科技，迎合這個趨勢，於去年(2020)六月推出PowerPanel Cloud雲端解決方案，協助用戶隨時隨地監控與管理自家部署的CyberPower不斷電系統(UPS)。

碩天科技軟體部資深經理林詠翔歸納，PowerPanel Cloud蘊含幾項優勢，除支援24小時全球使用、即時告警、人性化界面，並適用所有高中低階CyberPower UPS外，也標榜擁有高安全性。為證明它達到一定資安層級，碩天決定高規格的測試要求，參考全球知名CREST組織所公告的滲透測試合格廠商名錄，委請臺灣唯一被認可的安華聯網，依國際標準對PowerPanel Cloud 進行完整檢驗。

林詠翔表示，UPS是提供電力備援的基礎設施，多數使用者皆以UPS保護網路設備、資料庫主機等重要裝置，以確保關鍵服務不中斷，顯見UPS極為重要。因此用於遠端監控與管理UPS的PowerPanel Cloud服務，絕對需要具備最高等級的安全性，才能有效避免駭客入侵、防止用戶端的電力架構遭不當控制或破壞。

「碩天向來重視資安，自我要求以最高標準來測試PowerPanel Cloud」，林詠翔說，碩天先前尋求外部顧問公司的協助，針對PowerPanel Cloud執行滲透測試；但問題在於顧問公司僅憑自身的規範與經驗做檢測，未基於任何產業標準，碩天受測後根據修改建議加強安全性設計，但並不確定是否達到可受信任的安全等級，且沒有客觀之第三方認證。

因此碩天持續探尋一些在國際上廣受採用的滲透測試標準，後來輾轉接觸安華聯網、進而獲知CREST組織，瞭解它是一家非盈利性的國際資安認證機構，通過認證的266間公司遍佈全球，且深受金融業、高科技業的信賴。幾經評估，碩天認為通過CREST測試，將可增進PowerPanel Cloud的安全性與可靠度，因而委託安華聯網執行，並期望取得CREST測試後，能夠提升用戶對於PowerPanel Cloud的安心與信心。

當初碩天尋求外部資安專業公司協助時，曾接洽多個對象，最終決定與安華聯網合作，主要基於幾個原因。首先碩天自認強項不在資安領域，有許多瑣碎、未被收斂的問題待釐清，安華聯網的團隊透過其專業性與標準流程，協助引導碩天理解這些問題；其次碩天急欲尋求國際資安標準認證，但多數徵詢對象並未針對這個方向給出具體提案，唯獨安華聯網提供許多寶貴資訊，針對現今可供選擇的國際標準、逐項製作詳細簡報，亦動員技術人員與碩天進行細部溝通，協助碩天一步步梳理出最合適的認證選項。

林詠翔接著說，再者執行滲透測試後，辛苦的一方是碩天開發團隊，可能需要執行修正工作，其間也難免有諸多疑問，對此安華聯網允諾提供專業支援，藉由顧問服務形式，協助碩天找到最佳修正方向。基於這些理由，碩天選擇與安華聯網建立合作關係。

當碩天選定CREST方案後，安華聯網隨即展開細膩的需求訪談，且針對碩天提出的任何問題，迅速給予精準回覆，幫助碩天加速擬定最合宜的測試方向；此外碩天開發團隊的任務繁重，同時間需要執行產品開發工作，以致屢屢需要調整測試時程，安華聯網皆全力配合，使林詠翔對安華聯網的專業實力和服務態度深感讚許。

今年二月結束初測後，安華聯網提出完整報告，並依照問題迫切性、列舉高中低不同級別的安全補強建議。接著碩天舉行內部討論，針對修正過程可能遇到的種種實務挑戰，向安華聯網提出多次詢問，探討有無較不耗費時間與資源的做法、仍可達到相同的資安強化效果，經過來回研議，確定最終的修改方向；而在完成修正後碩天取得了帶有CREST標章的滲透測試報告，也等同正試宣告PowerPanel Cloud產品具備國際級的資安品質。

目前碩天在歐、美、亞、澳洲等地設有銷售據點，也在北美、法國、德國、俄羅斯等市場締造不俗銷售佳績。有感於客群散佈各地，不宜僅以個別顧問公司的在地經驗、來評斷PowerPanel Cloud的資安防護力，因而勇於尋求高規格的國際級CREST滲透測試，委託安華聯網執行嚴謹的資安檢測，期盼取得最充份證明，確認碩天產品安全可受信賴，使客戶真正安心採用PowerPanel Cloud雲端服務。

媒體報導