資誠通訊第381期封面企劃:做對十件事,正面迎擊資安痛點

自今年初以來,國內陸續爆發包括航空業、百貨業、車輛租賃等產業多起資料外流事件,累計超過百萬筆客戶資料外流,凸顯因應資安挑戰迫在眉睫。

隨著疫情加速全球數位化,遠距辦公、線上購物成為日常,企業數據與消費者個資散播的速度、範圍超乎預期,我們與網路攻擊、資安漏洞之間的距離,很可能不如想像中遙遠。世界經濟論壇(WEF)今年初發布的《2023全球風險報告》(The Global Risks Report 2023)顯示,網路犯罪的猖獗與網路安全漏洞持續擴張(Widespread cybercrime and cyber insecurity)在未來兩年(短期)及十年(長期)跨度的風險因子中均排名第八位;未來兩年網路風險的排名,甚至較天然資源危機及非自願的移民遷徙等重大威脅靠前。

若進一步檢視全球各區域的資安現況,科技大廠IBM在3月發布《X-Force威脅情報指數資安報告》(IBM Security X-Force Threat Intelligence Index 2023),指出2022年全球監測到的網路攻擊件數以亞太區的31%居首,高於歐洲的28%及北美的25%。若將眼光轉回臺灣,自今年初以來,國內陸續爆發包括航空業、百貨業、車輛租賃等產業多起資料外流事件,累計超過百萬筆客戶資料外流,凸顯因應資安挑戰迫在眉睫。

面對日益升溫的資安威脅,PwC於10月發布《全球數位信任洞察報告》(Global Digital Trust Insights 2024),針對全球71個國家或地區、共3,876名高階主管進行調查,探討企業未來12至18個月可能遭遇的資安挑戰與機會。本報告發現,過去一年全球網路攻擊更為猖獗:受訪企業因資料外洩而蒙受財務損失,且金額超過百萬美元的比例,從前一年的27%升至今年的36%。

生技醫療、金融、科技產業  為網路攻擊重災區

就產業別而言,以生技醫療業受網路攻擊的威嚇最大:過去一年全球企業因網路攻擊而導致的財務損失平均為440萬美元,生技醫療產業平均為530萬美元、較所有產業平均高出25%。其次則為金融產業的500萬美元,及科技、媒體與電信產業的480萬美元。

為遏止網路攻擊導致的財務損失,預期拉高資安預算的受訪企業比例,從前一年的65%提升至79%。關於資安預算在未來12個月該如何運用,排名第一的選項為改造網路基礎架構等現有的科技(49%),其次則為優化現有科技和相關投資(45%)、持續改善風險漏洞(42%)、進行資安訓練(40%)。

逾四成企業不了解新興科技風險  但多願積極導入生成式AI抵禦網路攻擊

然而,儘管不吝投入資安預算,企業對網路攻擊的準備程度仍有進步空間。《全球數位信任洞察報告》發現,雲端威脅、連網裝置遭入侵、駭入竊取資料,為企業認知中網路安全風險的前三名;不過仍有超過三分之一的企業未實行風險管理措施,且僅有四分之一針對提升資安韌性有所作為。

面對生成式AI、區塊鏈、虛擬與擴增實境等新興科技,亦有超過40%受訪企業坦言並不了解相關網路風險。但有52%認為在未來12個月,生成式AI可能導致災難性的網路攻擊,顯示企業對新科技的資安風險雖缺乏認識,但並不輕忽。可喜的是,企業已開始運用生成式AI抵禦網路攻擊:69%的受訪企業表示,未來12個月將導入生成式AI作為資安防禦的工具,且有47%表示,企業已在使用生成式AI偵測、降低網路風險。

十大作為  助企業降低網路攻擊損失

《全球數位信任洞察報告》也從受訪企業中歸納出「數位信任專家」(Stewards of Digital Trust),亦即採行較積極的網路安全實務,且至少導入十項網路防禦措施的企業。這些企業做對了十件事,確實降低網路攻擊帶來的損失,包括:

  • 快速因應威脅,讓組織強勢從攻擊事件中復原(96%,高於整體平均的30%)。
  • 將數據安全及隱私措施,與產品、服務、第三方關係妥善整合(94% vs. 25%)。
  • 貫徹資安管控於組織全面到位,避免嚴重網路攻擊的發生(96% vs. 28%)。
  • 針對組織面臨的主要風險,分配資安預算因應(91% vs. 23%)。
  • 與各級別公部門維持密切關係,以建立企業韌性(85% vs. 21%)。
  • 推動資安部門與組織內其他相關業務部門密切合作,如軟體工程、專案管理、採購、行銷等,以落實資訊安全(88% vs. 23%)。
  • 從總體經濟環境與營運策略,預測未來可能發生的網路風險(93% vs. 22%)。
  • 溝通網路策略與行動,協助組織贏得消費者與商業夥伴的信任(91% vs. 24%)。
  • 加速組織推動數位轉型及其他變革的腳步(84% vs. 21%)。
  • 針對如何扭轉、降低資安風險,向CEO及董事會提出洞察(93% vs. 23%)。

知名美國密碼學學者、資安專家布魯斯.施奈爾(Bruce Schneiner)曾說,「如果你認為科技能夠解決資安問題,那麼你可能並不了解問題的本質,也不了解科技。」(If you think technology can solve your security problems, then you don’t understand the problems, and you don’t understand the technology.)科技固然可成為抵禦網路攻擊的防線,但也許更為優先的,是透過組織內、外的無縫串連,建立良好的防護網,並針對資安危機進行沙盤推演。企業主管須時時保持敏銳,因應不斷變化的市場情勢檢視、調整資安架構與系統,以在資安危機到來前做好準備。

提供您更完整的產業、法令、及市場資訊

訂閱電子報

關注我們