一、報導摘要
Juventus是世界上最受矚目的足球俱樂部之一,這自然使其成為攻擊目標。在Help Net Security的訪談中,Juventus足球俱樂部資訊通訊技術主管Mirko Rinaldini探討了俱樂部的網路風險策略。Juventus制定了一套以威脅為導向、以結果為導向的方案,在比賽日、電子商務和數位平台上平衡創新與保護措施。
二、威脅導向、結果導向的資訊安全方案
尤文圖斯的網路風險策略核心,是一個以NIST框架為基礎、並根據俱樂部獨特營運環境量身打造的方案。這套方案特別針對以下情況進行調整:比賽日、轉會市場窗口、全球球迷參與以及全天候媒體運營。在這些高壓時刻,即使幾分鐘的服務中斷都可能成為全球頭條新聞。這套策略確保了在關鍵業務時期,如售票系統高峰期,能夠採取更嚴格的資安管控措施。
三、從體育組織汲取的資安經驗
體育組織是多業務實體,不僅涵蓋傳統企業的複雜性,還面臨場館管理(比賽日和賽事)以及與表演和體育運營相關的挑戰。然而,在這方面汲取的許多經驗教訓可廣泛應用於各行各業。Rinaldini說,如果一定要強調幾點,我一定會列舉以下幾點:
- 治理與業務速度同步。在事件發生前確定風險責任、升級路徑和外部溝通規則,並進行演練。這可以在壓力激增時保持可信度。
- 第三方 = 一級風險。將供應商和平台視為攻擊面的一部分。透過合約編碼安全措施(通知視窗、修補程式時間表、日誌處理、連續性、事件應對手冊),並測試這些義務,而不僅僅是工具。
- 持續提升安全意識和員工敏感度。讓安全成為全年習慣,而非一年一度的課程。將強制性入職培訓、針對不同角色的微學習、網路釣魚模擬和即時提示相結合;衡量行為結果(例如,報告延遲、風險行為減少),而非測驗完成情況。這種持續的步調能夠改善最繁忙日子的實際決策。
四、創新與資安的平衡
尤文圖斯深信,創新與資安必須並行。俱樂部採用「安全設計」(security-by-design)方法,將安全措施整合到產品與系統開發的早期階段。這包括在交付藍圖中設置「通過/不通過」的門控機制,以確保所有專案在正式發布前都符合嚴格的安全標準。他們強制執行安全預設、維護威脅模型,並透過模擬攻擊者行為和代碼審查來驗證軟體的韌性。同時,相關政策也會向下傳達並在整個供應鏈中得到執行,以確保整體生態系統的安全性。
五、建構統一的資安文化
為了在整個組織內建立統一的資安文化,尤文圖斯採取了多樣化的溝通策略。他們根據不同受眾量身定制溝通內容,並推行一個為期12個月的資安意識計畫。該計畫不僅包含即時的提醒,還建立了一個資安冠軍網絡,讓各部門的代表成為資安推廣的關鍵力量。這種策略旨在讓安全不僅是資訊技術部門的責任,更是每一位員工的日常習慣。
六、未來ICT與安全團隊的關鍵能力
從中期來看,尤文圖斯認為ICT 和安全團隊所需的關鍵能力將集中在以下領域:
- 以結果為中心的治理和指標。將公司治理態勢轉化為董事會認可的韌性指標;讓「治理」更具可操作性,而非空談。
- 身分優先、資料為中心的安全。在 SaaS、雲端和邊緣的存取規則和資料分類/處理方面擁有深厚的能力。
- 偵測工程與威脅導向防禦。將遙測和偵測視為產品;持續驗證假設,以應對真實的攻擊者行為,並將其嵌入到我們每月的 SOC 週期中。
- 以開發者速度保障產品和 API 安全。透過「通過/不通過」門控機制,確保模式能夠承受真實的 CI/CD並釋放壓力。
- 人工智慧風險管理。在資料平台中安全地利用人工智慧,同時防禦人工智慧加速的威脅,這明確體現在我們當前的季度目標中。
- 監管準備和供應商紀律。制定符合NIS2標準的政策,並在合約中納入控制措施,以降低供應鏈風險。
七、總結
尤文圖斯作為一個高知名度的全球性品牌,其所面臨的網路威脅與挑戰是多面向且不斷演變的。Mirko Rinaldini在訪談中揭示了俱樂部如何透過一套靈活且務實的網路風險策略,將資訊安全從單純的技術問題提升到業務治理層面。他們強調將供應商視為攻擊面的一部分、持續培養員工的安全意識,並預見未來在人工智慧風險管理與供應鏈紀律等領域的關鍵能力需求。這些經驗不僅對體育產業具有參考價值,也為所有追求在數位轉型中兼顧創新與韌性的企業,提供了寶貴的啟示。
資料來源:https://www.helpnetsecurity.com/2025/09/22/mirko-rinaldini-juventus-juventus-cyber-risk-strategy/