#總經理談資安
全球遭駭客入侵等資安事件頻傳,政府與企業面對的潛在風險也日益增加,低估威脅性、視為「技術問題」,是組織對資安的兩大錯誤認知,應予以改正。
近年來,全球重大的資安事件發生頻繁,其產生的衝擊也日益升高,幾乎每年都會有一、二件讓國人關注的重大資安事件發生。
當然,這並非台灣獨有的現象,根據全球知名網路調查研究機構 Cybersecurity Ventures預估,二○二一年,全球因網路犯罪所造成的損失,將高達六兆美元,而全球專業資訊安全人才的缺口,在一九年就已突破了兩百萬人。
隨著近期5G開台,物聯網相關設備急速成長,數位轉型成為政府與各大企業的必要戰略,不論是創新產品服務的開發、新形態商業模式的建立、相關供應鏈的敏捷化等,資通訊科技都扮演著不可或缺的關鍵角色。
相對的,網路威脅也將從傳統的資訊環境,進入物聯網新世界,成為無所不在的威脅與風險。
像是在一六年十月,美國東岸的駭客DDoS(Distributed Denial of Service,分散式阻斷服務)攻擊事件,電信商遭到當時史上最大流量的網路攻擊,導致七十餘種網路服務如Netflix(網飛)、Twitter(推特)、Spotify等用戶服務中斷。駭客就是入侵十餘萬支暴露在網路上有弱點的網路攝影機,集體對電信商發動攻擊。
從這個案例可以看出,若資安問題未能事先考量,政府或企業辛苦建立的網路資訊基礎建設,反而會被駭客利用,並成為網路攻擊的最佳武器。
另外,拜新興科技之賜,許多過去須由人工近距離操作的一些關鍵任務(Mission Critical),可由人工智慧(Artificial Intelligence)代勞或是遠距進行,像是遠距醫療、智慧農業、自駕車等,將得以逐步實現。但也因此,網路威脅對此類關鍵任務的破壞,其造成的衝擊將更劇烈且全面。像電影《終極警探四.○》的情節,駭客癱瘓交通系統,甚至攻擊證券交易所,都可能真的發生。
儘管資安如此重要,但絕大多數的企業與組織對網路威脅的因應能力仍然十分薄弱。以筆者真實現場觀察,其中根本問題,是對網路威脅風險的錯誤認知,尤其是企業的管理高層。
第一種錯誤認知,是低估網路威脅風險。
首先是低估發生機率,其實媒體揭露的資安事件,只是冰山的一角,大部分的資安事件,都是祕而不宣地「被處理」進而消失;其次,是低估駭客的能耐,駭客圈是一個創新、開源、知識密集的社群,在高獲利、低風險的驅動下,攻擊手法日新月異。
大部分的組織與企業,仍用過時的防禦技術,阻擋現今強大的威脅,通常都在事故發生後,才意識到駭客的能耐遠超過他們的想像。
第二種錯誤認知,是將資安議題視為「技術問題」。
事實上,資安絕對是管理層面的議題,也很需要組織內的其他部門支持。
當資訊架構只專注於方便性及可用性時,就會大幅增加駭客侵入的風險。例如,許多製造業工廠為了維持穩定產能,資訊或資安人員都不得介入工廠環境,資安的防護機制也付之闕如。駭客一旦成功入侵工廠的網路,便如進入無人之境,予取予求。
技術固然很重要,但若公司只將資安問題局限於此,可以斷定說該公司的資安是不可能得到確保與改善。只有管理階層正確的認知與支持,才有可能制訂兼顧安全性與可用性的資訊架構與流程。
此外,同時才能在實際執行時取得業務單位的支持,甚至,進一步思考,如何讓資安跳脫成本支出框架,將資安轉為數位轉型浪潮下的競爭優勢。
大型企業之董事會也應組成經營團隊,辨識並評估企業面對的資安風險,以及企業對此風險的承受度,進而擬出降低或轉移風險的具體作為。
最後,政府也應強化企業對資安風險管理的要求,把它當作公司治理的重要指標之一,讓企業在追求數位轉型之際,也在可控制的風險內,為企業獲取最佳商機。
#洪偉淦 #趨勢科技 #資安
總經理談資安 在 雲端安全性比自家機房更強?數聯資安總經理告訴您真相 的推薦與評價
讓數聯資安李明憲總經理為您解析為何比起自建機房,企業上雲其實更安全!在微軟雲端,您不只能獲得超乎想像的安全性更能免費使用多種強大的防護工具 ... ... <看更多>