防駭行動 三策略出擊

經濟日報/A14版/經營管理
王志清（LeadBest ESG 數位賦能顧問集團共同創辦人暨數位長）
2023年9月13日   人氣: 698  

網路安全

【王志清（LeadBest ESG 數位賦能顧問集團共同創辦人暨數位長）】

台灣作為全球供應鏈的重要樞紐，並有特殊政經地位，面臨網路攻擊的次數已高居亞太之首。近年經濟不景氣情況下，駭客對企業的針對性攻擊與勒索行為的案例更是逐漸增加。駭客組織甚至會根據不同專業分工，進行弱點研究、攻擊、勒索、後勤和洗錢等活動，以最大化其利益。

近期一個趨勢是勒索病毒成為一種即服務（RaaS），攻擊者租用這些軟體時，供應商會提供更新和保護，以確保病毒在短時間內能夠繞過防毒軟體監控，許多台灣企業便是受到這樣的勒索病毒攻擊。而駭客為增加獲益，常鎖定上市櫃公司攻擊，攻擊目標甚至會擴展到整個供應鏈，包括企業的供應商，勒索的金額從數百萬到千萬美元時有所聞。

近期個資法修正案通過立法院三讀，未來業者若未善盡安全維護義務以致個資外洩，情節重大者的罰鍰最高恐達1,500萬元。然企業若以發生個資外洩或勒索病毒事件的機率來思考資安投資，如以發生機率5%計，1,500萬x5%，損失期望值為75萬元，除了預算較豐厚的上市公司外，很多企業可能還是寧可賭這機率，而非花百萬元的資安預算做防禦。換個角度看，或許勒索病毒愈趨強勢才能催化企業重視資安投資。

傳統駭客攻擊事件應變方式通常包括確認問題範圍、止血、備分與還原等步驟，有時企業甚至會考慮支付贖金以避免問題擴大。然而，近年區塊鏈技術興起也帶來新挑戰，駭客可透過加密貨幣的特性迅速實現經濟利益、並且難以追蹤，我們發現區塊鏈上的項目幾乎每天都有攻擊事件，影響範圍更廣更大更快速，從數十萬到上億美元的利益讓駭客趨之若鶩。

資安防禦沒有終點，但若做到以下三個應對策略，可讓企業避免大部分的攻擊：

一、資安顧問支援：資深資安顧問可以提供專業策略建議，協助企業在有限資源中建立最大化縱深防禦──多層次的防禦措施，包括零信任（Zero Trust）安全、防火牆和敏感資料備份等。

二、員工資安培訓：員工是企業第一道防線，資安意識培訓可幫助他們辨識和應對潛在風險。

三、職場演練和外部情資監控：透過模擬攻擊和持續監控外部情資，企業可以在威脅真正產生前抑制其影響。

在數位轉型過程，企業通常尋求增加效率、創造更多價值，然而資訊安全卻不容忽視。我們替客戶做產品時，會在產品創建時便內建資安（Build Security In）作為，確保客戶在數位轉型過程能夠處理資安威脅。資安並非靜態目標，而是持續的過程，轉型中必須時刻往前並透過資安與品質把握，透過 DevSecOps方法論確保其不脫離我們掌握的範圍。

綜上所述，資安在數位轉型過程中扮演著關鍵的角色，企業應該將資訊安全納入整體策略，透過多層次的防禦、資安培訓以及持續監控，以保護其資產遭受不必要的風險。