生成式AI、量子電腦等新興技術蓬勃發展,帶來龐大應用潛能,卻也伴隨未知的影響與風險。世界經濟論壇(WEF)今年初發布的《2024年全球風險報告》指出,AI技術不僅加劇假資訊與錯誤資訊、網路攻擊等風險,AI潛藏的風險更將在未來10年內急遽惡化。將目光轉回到臺灣,2024年9月國際駭客組織高調在社群媒體宣稱對臺灣發起分散式阻斷服務攻擊(DDoS),數發部事後統計指出,相較於以往單月不到5件DDoS攻擊,9月偵測到的攻擊超過50件,包括地方稅務機構、區域民航站及部分電信業者等都成為攻擊目標,凸顯資安防護及風險管理的重要性。
面對資安風險的考驗,PwC發布《2025全球數位信任洞察報告》,針對77個國家與地區、4,042位企業高階與資訊部門主管進行量化調查,結果顯示,66%資訊部門主管認為網路風險在未來一年內需優先因應,尤其資料外洩造成損失金額平均已達332萬美元。報告也發現,儘管企業已普遍認知強化網路安全的必要,但企業所採取的行動仍有五大缺口:網路威脅因應方案不足、缺乏量化網路風險對財務的影響、強化網路韌性的措施不足、資安長(CISO)參與度不足,以及CEO與CISO對符合資安法規的信心程度存有差距。
善用新興科技 管控風險創造機會
聯合國(UN)2024年9月發布的《為人類治理AI》(Governing AI for Humanity)報告指出,在商業利益推動下,各國重視AI的潛在利益,大過於其可能產生的風險,而忽略當前治理生成式AI工具的實際危機。《2025全球數位信任洞察報告》亦顯示,資安主管認為生成式AI(67%)、雲端科技(66%)蓬勃發展,增加其企業過去一年資安暴險。
新興科技興起,雖然為各產業帶來許多新機會,卻也增加網路攻擊面向與途徑。不只是生成式AI,網路風險也因其他科技興起而增加,例如越來越多裝置透過網路相互連接,資安主管表示連網裝置(58%)、營運系統(54%)也潛藏網路攻擊風險,製造業、醫療業、能源業是主要感受到風險的產業。
生成式AI擴展了網路攻擊面向,但企業也運用生成式AI強化網路安全,78%企業表示在過去一年增加對生成式AI的投資,72%增加風險管理相關投資,以確保AI使用符合相關治理標準與風險管理要求。
法規要求增加 強化溝通擬定戰略
臺灣在2019年正式施行《資通安全管理法》,增強政府單位資安防護;金管會也訂定相關準則,要求上市櫃公司依分級配置資訊安全主管及資訊安全人員。《資通安全管理法》上路逾5年,行政院會在2024年7月首次通過修正草案,要求特定非公務機關應設置資通安全長以資安專職人員,並增訂強化資通安全人員之專業知能、重大資通安全事件之調度支援等規定。放眼國際,各國亦陸續訂定網路安全相關法規,驅動企業必須迅速遵守日益增加的要求,例如歐盟發布數位營運韌性法(DORA)、資安韌性法(CRA)、人工智慧法(AI Act)、美國2022年關鍵基礎設施網路事件報告法(CIRCIA)等。
《2025全球數位信任洞察報告》指出,96%受訪者表示,資安法規促使他們在過去一年增加網路安全投資,78%認為法規有利於他們改善或提升其網路安全實務。然而在企業遵循法令的信心程度,CEO較整體受訪者的信心程度更高,尤其與CISO/CSO相較更顯差距,特別是在AI(67% vs 54%)、資安韌性(64% vs 51%)、網路基礎設施(68% vs 57%)等法令遵循的信心程度。彌合信心差距需要管理階層間強化溝通,CEO應確保CISO/CSO獲得符合法遵的資源與支援,CISO/CSO則應提出數據佐證,具體說明將法遵列為策略要務的理由。
CISO發揮職能 縮短與韌性的距離
企業構築網路韌性,需要從人員、流程、技術等面向進行。儘管企業對網路風險擔憂日益增加,在這份調查詢及的12項強化網路韌性措施中,只有2%企業表示在內部已全面採用。而這12項關鍵措施中,建議可先從以下三大措施著手:
- 建立跨部門的韌性團隊,結合企業營運持續計畫(BCP)、資安、風險管理等部門職能(34%企業表示已進行)
- 研擬可能情境,擬定資安事件應變計畫(35%企業表示已進行)
- 盤點企業所依賴技術或資訊系統,辨別其相互依賴性,以制定相應的風險管理計畫(31%企業表示已進行)
網路安全有助於形塑差異化競爭優勢,因此企業普遍都將增加投資強化網路安全,但許多企業卻未讓CISO充分參與關鍵措施,導致策略不夠完善。《2025全球數位信任洞察報告》建議,除了提高CISO的參與度,每位高階主管也都應針對企業最迫切的風險調整決策方針,強化企業整體策略連結,且不只是聚焦在當前的漏洞,更重要的是建立風險侵襲下的復原能力。
提供您更完整的產業、法令、及市場資訊
訂閱電子報
