2025全球數位信任洞察報告

主要發現

因應網路威脅 強化韌性已是策略議題

• 受訪者最關注的網路威脅類型，依次為雲端風險（42%）、資料駭取與洩漏（38%）、第三方違規（35%）、透過連網裝置網攻（33%），這四大風險同時也是資訊部門主管認為尚未準備好因應的前四大威脅。
• 超過四分之一受訪者表示，過去三年內單一重大資料外洩事件至少造成100萬美元損失。在過去三年中，所有受訪者平均損失達300萬美元。
• 雖然不同職能的高階主管對風險因應排序不同， 整體而言，高階主管最關心通貨膨脹，而資訊部門主管（66%）最關心網路風險。不過，48%高階主管將網路風險列為最關注的前三大風險之一，可見強化網路韌性將成為企業整體策略的重要議題。

運用新興科技 掌握風險善用機會

• 《2024全球暨臺灣企業領袖調查》顯示，多數企業領袖同意生成式AI可增加工作效率，64%全球與85%臺灣企業領導者亦認為生成式AI將增加資安風險，顯示生成式AI帶來機會，也伴隨風險。
• 《2025全球數位信任洞察報告》顯示，資安主管認為生成式AI（67%）、雲端科技（66%）蓬勃發展，增加其企業過去一年資安暴險。可見新興科技興起，雖然為各產業帶來許多新機會，也增加網路攻擊面向與途徑。
• 網路風險也因其他科技興起而增加，例如越來越多裝置透過網路相互連接，資安主管表示連網裝置（58%）、營運系統（54%）也潛藏網路攻擊風險，製造業、醫療業、能源業是主要感受到風險的產業。
• 雖然生成式AI擴展了網路攻擊面向，但企業也運用生成式AI強化網路安全，78%企業表示在過去一年增加對生成式AI的投資，72%增加風險管理相關投資，以確保AI使用符合相關治理標準與風險管理要求。
• 目前企業運用AI所面臨的挑戰包括：難與既有系統／流程整合（39%）、內部利害關係人對生成式AI信任程度不足（39%），相關內控與風險管理措施不足（38%），以及缺乏內部管理規章（37%）。
• 2024年1月臺灣首部自主研發量子電腦於中研院誕生，喚起人們對量子科技研究的重視，隨著量子電腦進展，在《2024數位信任洞察報告》中，42%資安主管也注意到量子電腦可能伴隨網路風險。

法規要求增加 強化溝通擬定戰略

• 臺灣在2019年正式施行《資通安全管理法》，將所有上市櫃公司分級，分別要求設置資安長與資安專責單位，或須設置資安專責主管與至少一名資安專責人員。國際亦有許多網路安全相關法規，驅動企業必須迅速遵守日益增加的要求，例如歐盟發布數位營運韌性法（DORA）、資安韌性法（CRA）、人工智慧法（AI Act）、美國2022年關鍵基礎設施網路事件報告法（CIRCIA）等。
• 96%受訪者表示，資安法規促使他們在過去一年增加網路安全投資，78%認為法規有利於他們改善或提升其網路安全實務。
• 然而在企業遵循法令的信心程度，CEO較整體受訪者的信心程度更高，尤其與CISO／CSO相較更顯差距，特別是在AI（67% vs 54%）、資安韌性（64% vs 51%）、網路基礎設施（68% vs 57%）等法令遵循的信心程度。
• 彌合信心差距需要管理階層間強化溝通，CEO應確保CISO／CSO獲得符合法遵的資源與支援，CISO／CSO則應提出數據佐證，具體說明將法遵列為策略要務的理由。

量化網路風險 擬定資源配置順序

• 企業瞭解網路風險是時時刻刻存在的威脅，卻僅有15%企業確實量化風險對財務的影響。
  
• 大多數受訪者同意，量化網路風險對財務的影響，有助於企業評估網路安全投資（88%受訪者同意），或衡量風險承受能力（88%受訪者同意），亦有助於將資源配置在高風險項目（87%受訪者同意），或呈現網路風險管理對企業的價值（86%受訪者同意）。
• 然而，量化網路風險並不容易，企業表示主要挑戰源自於風險範圍的不確定性（45%）、數據良窳與來源等問題（44%）、對法規與監理的考量（43%）。
• 網路風險的量化，與企業整體風險管理與胃納有關，需要資安主管與各部門主管協作，唯有將風險影響量化，才有助於擬定策略性投資的優先順序。

強化網路韌性 構築信任

• 77%企業將在未來一年增加預算強化網路安全，尤其是北美地區科技、媒體與電信業更是如此，82%企業表示將增加網路安全預算。
• 整體而言，企業未來一年強化網路安全的相關投資，以資料保護（48%）、優化既有資訊系統與網路基礎架構（43%）為優先。就資訊部門主管而言，以雲端安全（34%）、資料保護（28%）投資為優先。可見企業無論是哪一個部門，均認為資料保護是未來一年網路安全的重點投資方向，顯示資料保護已是維繫利害關係人信任與品牌誠信的關鍵。
• 網路安全形塑企業差異化競爭優勢，57%企業認為網路安全的良窳將大幅影響顧客對企業的信任，49%認為將影響品牌忠誠度與誠信，46%認為將影響企業成長的機會。
• 隨著企業普遍將增加投資強化網路安全，然而企業仍需與整體策略連結，不僅是為了解決當前最迫切的風險，長期而言，更要建立信任與網路風險侵襲下的復原能力。

CISO發揮職能 縮短與韌性的距離

• 企業構築網路韌性，需要從人員、流程、技術等面向進行，企業表示已進行或將進行的前三大措施，包括梳理並界定企業內部關鍵流程（42%）、導入網路災難復原的技術（39%）、建構對外部利害關係人溝通的機制（35%）。
• 儘管企業對網路風險擔憂日益增加，在這份調查詢及的12項強化網路韌性措施，只有2%企業表示在內部已全面採用。在這12項關鍵措施中，建議可先著手的措施為：
  • 建立跨部門的韌性團隊，結合企業營運持續計畫（BCP）、資安、風險管理等部門職能（34%企業表示已進行）
  • 研擬可能情境，擬定資安事件應變計畫（35%企業表示已進行）
  • 盤點企業所依賴技術或資訊系統，辨別其相互依賴性，以制定相應的風險管理計畫（31%企業表示已進行）
• 企業CISO應向高階管理團隊提供具體可行的網路威脅因應建議，企業亦可讓CISO監督技術和基礎架構的建置、充分參與網路投資的策略規劃，並定期向董事會報告，使董事會即時瞭解網路風險的趨勢與風險因應的發展。

相關連結：

• Report > Bridging the gaps to cyber resilience: The C-suite playbook
• Further reading > 2024全球數位信任洞察報告

^{報告摘要時間：2024年10月11日}