資誠通訊第381期封面企劃：做對十件事，正面迎擊資安痛點

回本期資誠通訊目錄頁

隨著疫情加速全球數位化，遠距辦公、線上購物成為日常，企業數據與消費者個資散播的速度、範圍超乎預期，我們與網路攻擊、資安漏洞之間的距離，很可能不如想像中遙遠。世界經濟論壇（WEF）今年初發布的《2023全球風險報告》（The Global Risks Report 2023）顯示，網路犯罪的猖獗與網路安全漏洞持續擴張（Widespread cybercrime and cyber insecurity）在未來兩年（短期）及十年（長期）跨度的風險因子中均排名第八位；未來兩年網路風險的排名，甚至較天然資源危機及非自願的移民遷徙等重大威脅靠前。

若進一步檢視全球各區域的資安現況，科技大廠IBM在3月發布《X-Force威脅情報指數資安報告》（IBM Security X-Force Threat Intelligence Index 2023），指出2022年全球監測到的網路攻擊件數以亞太區的31%居首，高於歐洲的28%及北美的25%。若將眼光轉回臺灣，自今年初以來，國內陸續爆發包括航空業、百貨業、車輛租賃等產業多起資料外流事件，累計超過百萬筆客戶資料外流，凸顯因應資安挑戰迫在眉睫。

面對日益升溫的資安威脅，PwC於10月發布《全球數位信任洞察報告》（Global Digital Trust Insights 2024），針對全球71個國家或地區、共3,876名高階主管進行調查，探討企業未來12至18個月可能遭遇的資安挑戰與機會。本報告發現，過去一年全球網路攻擊更為猖獗：受訪企業因資料外洩而蒙受財務損失，且金額超過百萬美元的比例，從前一年的27%升至今年的36%。

生技醫療、金融、科技產業  為網路攻擊重災區

就產業別而言，以生技醫療業受網路攻擊的威嚇最大：過去一年全球企業因網路攻擊而導致的財務損失平均為440萬美元，生技醫療產業平均為530萬美元、較所有產業平均高出25%。其次則為金融產業的500萬美元，及科技、媒體與電信產業的480萬美元。

為遏止網路攻擊導致的財務損失，預期拉高資安預算的受訪企業比例，從前一年的65%提升至79%。關於資安預算在未來12個月該如何運用，排名第一的選項為改造網路基礎架構等現有的科技（49%），其次則為優化現有科技和相關投資（45%）、持續改善風險漏洞（42%）、進行資安訓練（40%）。

逾四成企業不了解新興科技風險  但多願積極導入生成式AI抵禦網路攻擊

然而，儘管不吝投入資安預算，企業對網路攻擊的準備程度仍有進步空間。《全球數位信任洞察報告》發現，雲端威脅、連網裝置遭入侵、駭入竊取資料，為企業認知中網路安全風險的前三名；不過仍有超過三分之一的企業未實行風險管理措施，且僅有四分之一針對提升資安韌性有所作為。

面對生成式AI、區塊鏈、虛擬與擴增實境等新興科技，亦有超過40%受訪企業坦言並不了解相關網路風險。但有52%認為在未來12個月，生成式AI可能導致災難性的網路攻擊，顯示企業對新科技的資安風險雖缺乏認識，但並不輕忽。可喜的是，企業已開始運用生成式AI抵禦網路攻擊：69%的受訪企業表示，未來12個月將導入生成式AI作為資安防禦的工具，且有47%表示，企業已在使用生成式AI偵測、降低網路風險。

十大作為  助企業降低網路攻擊損失

《全球數位信任洞察報告》也從受訪企業中歸納出「數位信任專家」（Stewards of Digital Trust），亦即採行較積極的網路安全實務，且至少導入十項網路防禦措施的企業。這些企業做對了十件事，確實降低網路攻擊帶來的損失，包括：

• 快速因應威脅，讓組織強勢從攻擊事件中復原（96%，高於整體平均的30%）。
• 將數據安全及隱私措施，與產品、服務、第三方關係妥善整合（94% vs. 25%）。
• 貫徹資安管控於組織全面到位，避免嚴重網路攻擊的發生（96% vs. 28%）。
• 針對組織面臨的主要風險，分配資安預算因應（91% vs. 23%）。
• 與各級別公部門維持密切關係，以建立企業韌性（85% vs. 21%）。
• 推動資安部門與組織內其他相關業務部門密切合作，如軟體工程、專案管理、採購、行銷等，以落實資訊安全（88% vs. 23%）。
• 從總體經濟環境與營運策略，預測未來可能發生的網路風險（93% vs. 22%）。
• 溝通網路策略與行動，協助組織贏得消費者與商業夥伴的信任（91% vs. 24%）。
• 加速組織推動數位轉型及其他變革的腳步（84% vs. 21%）。
• 針對如何扭轉、降低資安風險，向CEO及董事會提出洞察（93% vs. 23%）。

知名美國密碼學學者、資安專家布魯斯．施奈爾（Bruce Schneiner）曾說，「如果你認為科技能夠解決資安問題，那麼你可能並不了解問題的本質，也不了解科技。」（If you think technology can solve your security problems, then you don’t understand the problems, and you don’t understand the technology.）科技固然可成為抵禦網路攻擊的防線，但也許更為優先的，是透過組織內、外的無縫串連，建立良好的防護網，並針對資安危機進行沙盤推演。企業主管須時時保持敏銳，因應不斷變化的市場情勢檢視、調整資安架構與系統，以在資安危機到來前做好準備。