資誠通訊第370期封面企劃：迎戰資安風險 企業網路安全現況、策略全解析

回本期資誠通訊目錄頁

近期科技界最轟動的大事，莫過於歷經半年多來的纏鬥後，特斯拉（Tesla）創辦人馬斯克（Elon Musk）針對社交平台推特（Twitter）的收購案總算塵埃落定。這筆金額440億美元的交易案於十月底完成，過程中最受矚目的爭議之一，就是馬斯克引述推特前資安主管的說法，以推特隱瞞嚴重資安漏洞為由，一度申請終止交易。根據當時前資安長對美國參議院的證詞，推特對垃圾郵件帳號處理消極，且有高達四千位內部工程師均可存取用戶數據，將使用者個人資訊置於極大風險之中。

無論真實狀況如何，此事都反映出隨著科技日新月異，與企業、個人相關的數位身分、數據越趨繁雜，企業面臨的網路安全挑戰也更加嚴峻。PwC針對來自全球65國、超過3,500位企業高階主管進行調查，於九月底發布的《全球數位信任洞察報告》（Global Digital Trust Insights Survey）即顯示，全球只有14%的企業在過去三年沒有發生資料外洩事件；且在多數受訪者認知中，重大網路攻擊對組織韌性的威脅程度，甚至超越全球經濟衰退或健康危機事件，可見資安威脅已成為不分產業共同的難題。

有鑑於此，本期《資誠通訊》除摘錄《全球數位信任洞察報告》的主要發現，亦剖析企業針對網路安全風險採取哪些關鍵行動、策略，以及有哪些環節亟待強化，期能加速、加深企業對資安領域的認識，穩健應對層出不窮的網路安全威脅。

全球約四分之一企業 過去三年曾因資料外洩遭受財務損失

根據《全球數位信任洞察報告》的調查結果，在過去三年中，全球有四分之一（27%）的企業因發生資料外洩事件而遭受財務損失，損失金額多落在100萬至2,000萬美元區間，甚至更多。不過，相關的資安保護網佈建進度卻未能同步跟上。

儘管網路攻擊對企業造成的損失以百萬美元起跳，但只有不到40%的受訪者表示，企業已充分降低某些關鍵領域的網路安全風險，包括實現遠距工作和混合工作（38%）、加速導入雲端應用（35%）、增加物聯網的運用（34%）、強化供應鏈的數位化程度（32%）、強化後台營運系統的數位化（31%）等面向。

值得注意的是，資料外洩的代價絕對不僅止於直接的財務損失。以行銷為主要執掌的受訪企業主管表示，在過去三年中，組織因資料外洩或數據隱私事件而遭受的損害範圍，包括流失客戶（27%）、遺失客戶數據（25%）以及損害品牌聲譽（23%）。

取得利害關係人信任 資安事件揭露勢在必行 

資料外洩事件如此頻繁，顯然需要更多的公私部門合作以應對日益複雜的網路威脅，其中很重要的一點，便是須增加資訊共享和透明度。五分之四的受訪企業（79%）表示，為贏得利害關係人的信心與信任，企業必須採用可比較且一致的格式來強制揭露資安事件。

話雖如此，對於揭露實際該如何執行，企業仍在持續摸索：只有42%的受訪者，有自信其組織能夠針對特定的報告期間，充分揭露有關重大事件的必要資訊。除了執行上的困難，在分享重大訊息的同時仍能捍衛營業秘密，維持住競爭優勢，顯然是企業另一個亟需突破的挑戰。本調查顯示，企業對分享太多資訊仍感到遲疑：70%的受訪者表示，更多的公開訊息和資料透明度可能帶來風險，並導致企業失去競爭優勢。

增加網路預算的同時 企業仍須做更多 

多數受訪者表示，組織正在持續增加網路預算，這是好的開始：69%表示企業2022年的預算有所增加，65%將在2023年加碼網路相關投資。

除了加碼投資，針對逐漸升溫的資安挑戰，企業也採取實際行動以因應。52%的CEO表示他們將推動重大措施來改善組織的網路安全。受訪的CFO則多表示將增加他們對網路的關注，包括網路技術解決方案（39%）、專注於策略以及與工程/營運部門合作（37%），以及網路人才的技能提升和招聘 （36%）。

《全球數位信任洞察報告》進一步指出，儘管企業正在持續改善網路安全計劃，但仍有許多未盡之處。本報告建議企業需要做好三件事：策略風險管理計劃，持續營運與應變計劃，以及清晰一致的外部報告，方能跟上數位轉型的步伐，建立公眾信任。

關於身處數位時代的風險，美國密碼學者、資安專家布魯斯．施奈爾（Bruce Schneier）有以下貼切的形容：「數據是資訊時代的汙染源，而保護隱私就是我們亟需解決的環保挑戰。」（Data is the pollution problem of the information age, and protecting privacy is the environmental challenge.）企業掌握諸多消費者資訊及營運數據，如何站在制高點上，讓數據成為提供客製化服務的利器，而非資安汙染源，未來仍須持續努力。