在全球數位化轉型的浪潮下,企業積極擁抱數位科技、雲端服務與人工智慧等創新技術,以期提升競爭力並優化營運效率。然而,此一轉型亦帶來前所未有的資訊安全挑戰,企業在享受數位便利之際,必須嚴肅面對日益嚴峻的資安風險。現今,企業已深刻體認到,資安不僅是技術層面的議題,更是關乎企業永續發展的戰略核心。
近期資安事件頻傳,根據勤業眾信(Deloitte)近期統計分析台灣上市櫃公司所發布的資安重大訊息,2024年重大訊息揭露的資安事件達72件,已超過2022與2023兩年共40件的總合,最新《全球資訊安全前瞻調查研究報告》亦指出,企業遭受網路攻擊事件數量持續攀升。調查顯示,超過40%的受訪企業於過去一年內經歷6至10次資安事件,顯示全球企業面臨的資安威脅日趨嚴峻,以下列舉常見的威脅樣態趨勢:
• 攻擊面擴大,威脅複雜化:
隨著企業廣泛採用雲端服務、混合辦公模式與物聯網設備,企業的數位邊界日益模糊,攻擊面顯著擴大。此現象為駭客提供更多可乘之機,使其得以伺機尋找漏洞並發動攻擊。
• 勒索軟體攻擊升溫:
勒索軟體攻擊已由單純的檔案加密演變為「雙重勒索」模式,駭客威脅公開敏感資料,對企業聲譽與營運造成雙重打擊。此類攻擊不僅導致鉅額財務損失,更可能嚴重損害企業的客戶信任。
• 供應鏈攻擊威脅加劇:
駭客透過入侵第三方廠商或合作夥伴系統,間接滲透至企業內部網路,發動供應鏈攻擊。由於企業間高度依賴彼此的數位連結與共享平台,此類攻擊的連鎖效應使影響範圍迅速擴大,防護難度明顯提高。
因此面對日益嚴峻的資安挑戰,建議企業應採取多層次的防護措施,建構堅固的安全防護網,包含如下:
• 建立資訊安全風險管理機制:
○ 企業應優先建立資訊安全風險管理機制,定期對自身的資安風險進行全面評估與管理。
○ 定期盤點企業所有數位資產,確認關鍵及高風險資產,並持續監控外部暴露攻擊面,及早發現並修補潛在的安全漏洞,以降低遭受攻擊的機率與影響範圍。
○ 對潛在威脅進行評估,深入了解可能對企業造成最大影響的威脅,並制定及落實有效的控管措施,以降低風險。
• 採取零信任架構思維:
○ 零信任架構之核心理念為「永不信任,持續驗證」的原則,無論使用者或設備身處何地,皆不應預設信任。
○ 所有使用者與設備皆須經過驗證與授權,方可存取企業資源,實施多因子身分驗證(MFA)、最小權限原則與行為異常偵測等措施。
• 強化端點安全:
○ 部署端點安全解決方案,提供即時威脅監控與自動化應變能力,以監控設備活動、偵測異常行為,並於發現威脅時自動採取行動。
• 加強供應鏈風險管理:
○ 定期審查供應商資安狀況,建立供應鏈風險管理機制,確保供應商發生資安事件時,企業能及時應對。
○ 定期審查供應商資安狀況,確保其符合企業資安要求。
• 加強員工資安意識培訓:
○ 員工為企業資安防護的第一道防線,應定期舉辦資安訓練,提升員工對網路釣魚與社交工程攻擊的警覺性。
○ 透過定期資安培訓,提升員工資安意識,使其了解如何識別與防範網路威脅。
• 提升資安危機應變能力:
○ 成立資安事件應變團隊,預先明確定義資安事件發生時之職責分工,確保事件發生時,同仁皆能清楚知悉自身角色。
○ 建立資安事件應變與處理作業程序,透過標準化作業程序,使同仁有所遵循,以迅速進行通報與緊急應變處置。
○ 整合並運用外部威脅情資,了解對手攻擊策略與手法,以達知己知彼之效。
○ 執行不同情境之資安攻防演練,協助同仁強化資安預警敏銳度,並提升資安事件發生時之決策意識。
數位化轉型為企業發展之必然趨勢,然資安挑戰亦日益嚴峻。企業應將資訊安全視為永續發展之策略,透過建立健全的資安風險管理機制、加強整體資安韌性,方能在數位時代中穩健前行。
陳威棋 資深執行副總經理 勤業眾信聯合會計師事務所