我‧见‧我‧思-

在数位转型的过程中,企业通常寻求增加效率、创造更多价值,资讯安全更不容忽视。图/本报资料照片

台湾作为全球供应链的重要枢纽,并有特殊政经地位,面临网路攻击的次数已高居亚太之首。近年经济不景气的情况下,骇客针对企业进行针对性攻击与勒索行为的案例更是逐渐增加。骇客组织甚至会根据不同专业分工,进行弱点研究、攻击、勒索、后勤和洗钱等活动,以最大化其利益。

■台湾企业遭网攻次数居亚太之冠

近期的一个趋势是勒索病毒成为一种即服务(RaaS),攻击者租用这些软体时,供应商会提供更新和保护,以确保病毒在短时间内能够绕过防毒软体的监控,许多台湾企业便是受到这样的勒索病毒攻击。而骇客为了增加获益,较常针对上市柜公司进行攻击,攻击的目标甚至会扩展到整个供应链,包括企业的供应商,勒索的金额从数百万到千万美元时有所闻。

个资法修正案近期通过立法院三读,未来业者若未善尽安全维护义务以致个资外泄,情节重大者的罚锾恐达最高15,00万元。然企业若以发生个资外泄或勒索病毒事件的机率来思考资安投资,如以发生机率5% 计算,1,500万元X5%,损失期望值为75万元,除了预算较丰厚的上市公司外,很多企业可能还是宁可赌这机率,而非花100万左右的资安预算来做防御。换个角度看,或许勒索病毒愈趋强势才能催化企业重视资安投资。

传统的骇客攻击事件应变方式通常包括确认问题范围、止血、备份与还原等步骤,有时企业甚至会考虑支付赎金以避免问题扩大。然而,近年区块链技术的兴起也带来了新的挑战,骇客可以透过加密货币的特性迅速实现经济利益、并且难以被追踪,我们发现区块链上的项目几乎每天都有攻击事件,且影响范围更广更大更快速,从数十万到亿美金的利益让骇客趋之若鹜。

■数位转型,资安成必要投资

资安防御是一个没有终点的旅程,但以下应对策略若是都有做到,可让企业避免大部分攻击:1、资安顾问支援:资深的资安顾问可以提供专业策略建议,协助企业在有限的资源中建立最大化的纵深防御─多层次的防御措施,包括零信任(Zero Trust)安全、防火墙和敏感资料备份等。

2、员工资安培训:员工是企业的第一道防线,提供资安意识培训可以帮助他们辨识和应对潜在的风险。

3、职场演练和外部情资监控:透过模拟攻击和持续监控外部情资,企业可以在威胁真正产生前抑制其影响。

在数位转型的过程中,企业通常寻求增加效率、创造更多价值,然而资讯安全却不容忽视。我们自己在替客户做产品时,会直接在产品创建过程中便内建资安(Build Security In)作为,确保客户在数位转型过程中能够处理资安威胁。资安并非一个静态的目标,而是一个持续的过程,转型中须时刻往前并透过资安与品质把握,透过DevSecOps方法论确保其不脱离我们掌握的范围。