網路資安風險與因應之道
2017/02/08 | 劉先覺 好險網董事長
日前國內多家券商同時遭到網路駭客攻擊,造成短暫無法下單情形,這是駭客利用分散式阻斷服務攻擊 (Distributed Denial of Service,簡稱DDoS),導致對外網頁頻寬滿載,無法進入公司網頁情形,這也是自2015年以來在全球各地甚為猖獗、成長最快速的「綁架式網路攻擊」(Ransomware)的形態之一。
根據資誠企管2015年全球資訊安全調查報告,全球的網路駭客攻擊僅是被察覺的事件已經高達平均每日11萬7千多起,在歐美已經有近十億筆資料曾經遭到入侵,國際策略研究中心(CSIS) 與McAfee電腦資安公司的一份聯合網路風險報告書上預估網路犯罪造成全球每年高達約四千五百億美金的經濟損失。隨著網路的全球化與將近ㄧ兆個相聯的物聯網(IoT),網路資安問題已經成為全世界的政府、醫院、學校機關以及所有企業所需面臨的重大課題。
然而,根據調查報告,在各種類型的企業經營風險之中,網路資安風險卻是企業在因應準備的工作上做的最為不足的一環。 一般的錯覺是大型企業最容易遭受攻擊,事實上中小企業因為缺乏足夠資安防護資源,但是又可能與大型的上游供應商有所網路聯結,且其客戶資源寶貴,所以反而是最容易受到駭客攻擊的目標! 畢竟網路資安的首要工作就是需要相當經費的資訊硬體、軟體以及監視系統,其次才是資安的流程管理與員工的教育訓練,因此,一般企業在網路資安防護不週的主要原因,除了是因為低估了網路風險的嚴重性以外,有六成的企業表示是因為「預算經費不足」。
因應日趨嚴重的網路風險問題,各國政府幾年前開始研究相關法規的制定,初期多僅偏重在個人資料保護的相關議題,美國的華爾街日報、紐約時報、Twitter、雅虎、Sony, Target百貨等公司在陸續遭受網路攻擊事件之後,美國聯邦政府與州政府針對網路資訊安全法案不斷的增補與加強,包括鼓勵一般私人企業主動聯結與通報美國聯邦政府資安平台的Cyber Security Act,以督導與協助私人企業改進其網路資安的防禦工作。
在政府的鼓勵之下,美國已經有數十億美元的資金投資於數百家的網路安全Cybersecurity公司,進行開發與研究各式的網路安全防禦工作,包括主機與終端系統、雲端系統、物聯網、威脅偵測以及網路異常活動搜察等等的防禦工程,目的在於偵測處理多種類型的網路攻擊,例如:破解密碼型的Brute Force attack、各種偽裝詐騙的Social Engineering frauds、阻斷服務的DDoS等等各式的惡意病毒malware, spyware, phishing軟體。
面對這些網路駭客各種可能的攻擊,歐美許多大型的保險與再保公司除了提供客戶資安教育訓練、協助建立資安標準化作業流程等各項防護措施以外,自然也同時提供企業與個人各種相關的網路資安保險商品,幫助客戶分散風險、降低損失,其中包括了系統修護、商業收入損失、法律訴訟、消費者賠償、公司形象重建、網路資安診斷、甚至董監責任保險等等的保障與損失理賠。
此外、針對不同行業類別的企業或機關,例如醫院、學校、金融業、零售業以及水電能源公司等,另外還有設計不同保障的加註條款。
目前依然是以北美為主的全球網路資安保險市場在2015年的保費收入約為20億美金,隨著歐洲、亞洲、澳洲等地區的網路資安保障需求的增高,預計在2025年全球的網路資安保費收入會成長到200億美金左右。在美國,醫療機構因為其責任重大且風險意識高漲,所以除了一般大型企業客戶以外,醫療機構儼然也成為網路資安保險的主力客戶。可惜的是一般中小企業依然是投保率偏低,其實對於這些中小企業來說,網路資安保險的保費以在美國為例,通常大約僅是該企業營業收入的千分之一左右,是一筆相對來說不算高但是卻非常值得付出的代價。
在面臨快速成長、擴張、普及的網路科技時代,網路的資安問題是所有不論規模大小的企業、政府、醫療與學校機關都必須正式面對、謹慎處理防範的重要課題。同時、保險公司也有絕對的義務與責任協助其企業法人客戶盡量做好事前的風險防護工作以及事後降低損失的賠償與復建疤作,政府更是應該積極修改相關立法,以確保各個企業機關務必能夠在這個網路科技的新世代完善其網路資安工作,盡到最大的企業責任。
資料來源:http://ctee.com.tw/News/Expert.aspx…
Search