根據日前KPMG安侯建業聯合會計師事務所發表「2022年台灣企業資安曝險調查報告」結果顯示,呈現「一好五壞」的現象,台灣企業平均防護分數僅為C級(70~80分),分數與去年相同,代表具備一般技術的駭客就能入侵多數台灣企業,而且除了金融業表現尚佳,其餘產業皆與金融業有著明顯差距,尤其地緣政治風險導致供應鏈斷鏈可能性加劇的現在,涵蓋能源、原物料與運輸的供應鏈核心產業敬陪末座的表現,在面臨突如其來的資安風險時,更有著相似的「盲斷層」現象,建議洞悉本身資安體質,提升資安控管和強化自身防護能力,以免遭駭客入侵,進而影響整個台灣產業及供應鏈網路。
我是廣告 請繼續往下閱讀
KPMG安侯數位智能風險顧問公司董事總經理謝昀澤指出,從過去許多資安調查報告觀察到,台灣企業CEO普遍對組織的資安有著高於全球平均的信心。為了避免企業「自我感覺良好」,在面臨突如其來的資安風險時也有著相似的「盲斷層」現象,因此期待這份報告能協助企業找尋「盲斷層」突破盲點。
KPMG匯集多位資安專家調查包含台灣的6大產業,包括金融、半導體、電腦及周邊製造、電子商務、供應鏈核心及新創,經抽樣60家企業進行分析,結果平均防護分數僅為C級,表示多數企業,僅具備一般技術的駭客就能入侵。謝昀澤表示,2022年資安整體查結果,呈現「一好五壞」的現象,包括一、多數企業輕忽社群媒體所衍生的網路攻擊;二、台灣各產業資安人員能量均嚴重不足,企業資安人力亮警訊;三、供應鏈核心產業極需加強網路防護;四、金融業網路防護表現仍最佳,但面臨高度挑戰;五、導入並驗證資安國際標準,將顯著降低資安曝險。
謝昀澤分析,企業員工社群媒體的巨量使用,所曝露出的社交工程攻擊風險,是眼前最重要的問題,員工不經意的在個人社群上,所留下的商務電子郵件等相關資訊,都可能引發駭客攻擊的啟動點。這次調查意外地發現六大產業中平均分數最低的產業屬金融業,平均僅得14.14分。由於金融業大量透過社交媒體來發布其最新資訊,像是新興金融服務、最新理財商品、更新的金融相關政策與徵才資訊等等,而上述這些公告資訊皆需留下公務聯絡訊息。因此,金融業須特別謹慎運用社群媒體,並提供員工相對應的資訊安全教育訓練,以提升員工資安意識,改善社群媒體曝險情形。
企業資安人力不足的問題,也是台灣企業共同的隱憂,謝昀澤舉例,沒有能力與人力適當管理與維護的防火牆,與豪宅社區人人可以進入的公共開放空間無異。企業資安需要轉型,而轉型不只是需要「工具驅動」、也要「專業與人力驅動」。因此,既然對外招募不易,企業可考量透過適當的資安教育訓練培訓內部員工,藉以加強員工資安意識、第一線資安事件通報與危機處理人員的能力。
進一步探究表現較佳的兩產業則屬金融業及電子商務,謝昀澤指出,近年金融業主管機關針對資安長的設立標準,除了銀行業者外,達到一定條件與規模的保險公司、證券商、期貨商與投顧業,以及大型或從事電子商務的上市櫃公司也都必須設立資安長及配置適當數量的資訊安全員及設備,並明定將資安管理、事件影響與因應納入公司年度報告。因此他呼籲企業皆應考量自身規模與資源,設立資安長與專屬資安團隊,藉此正視企業整體的資安威脅與數位風險,讓產業生態圈資安防護更加完善。
我是廣告 請繼續往下閱讀
調查也發現。原物料、運輸等這類供應鏈核心產業資安實力參差不齊、落差極大,且超過60%的受調企業分數位居C級以下。謝昀澤表示,供應鏈核心產業中的企業通常歷史較為悠久,在傳統觀念的長期洗禮下,也較難接受流程大規模改動與快速深植資安意識。他建議可採取補償性控制措施,針對資訊資產的不足或缺陷,額外補充安全控制措施或強化安全控制措施,另外組織也應透過適當縱深防禦架構,保護重要資訊資產,像是透過建立定期清查帳戶權限、軟體清查與更新的流程做好內部存取控制,藉此顯著提升資安防護。
KPMG安侯數位智能風險顧問公司副總經理林大馗指出,依據近幾年協助客戶處理駭客入侵的資安事件顯示,高達7成的企業客戶無法掌握由潛在系統漏洞所堆積的「資安盲斷層」。而即使在遭受駭客突襲後顯露弱點與缺陷,亦未能從中即時補強,讓撼動企業的「資安地震」重複發生,因此,建議,各產業可參考本年度資安曝險報告,洞悉本身的資安體質,提升資安控管和強化自身防護能力,以免遭駭客入侵,進而影響整個臺灣產業及供應鏈網路。