「你們(公司)也被駭了嗎?」這是資安圈目前最火熱的話題。 從百貨商場、電商平台、到科技大廠、甚至連政府部門,最近不約而同爆發資安事件,成為駭客攻擊的勒贖對象。主管機關還點名幾家高風險的電商平台,要求其限期改善之外,甚至呼籲民眾慎選賣場。
當擁有大量個人資料的廠商(如金融業)受害,受影響的可不只少數企業,更有數以萬計的消費大眾,迫使政府不得不加強督導動作,如金管會便召集數十家業者,規定往後爆發資安事件須在30分鐘內通報,並提供情資給「金融資安資訊分享與分析中心」(F-ISAC),避免連鎖反應。
沒隔幾天,行政院拍板由國發會射出「三支箭」:強化聯繫會議、提高相關罰則、設立專責機關,儘速把個資法、資安法、外洩特別法等修正案送進立法院,避免民怨擴大。
最近一期的《天下雜誌》封面故事,談的就是全台戶役政資料外洩:「2300萬人的資料只值15萬」,看到報導內容,一位企業法務長苦笑:「當2300萬人的資料都外洩了,這下還有個資保護的意義嗎?」
數位犯罪與資安事件,已成世界未來重大風險
早在2021年,全球最大肉品加工廠巴西 JBS 控股公司就受到網路攻擊,波及美、加等國眾多產線,只好支付上千萬美元的比特幣給駭客。同一年,美國最大油管廠商 Colonial Pipeline也被駭客勒索,影響近半的美東油品供應鏈,讓美國政府一度宣布進入國家緊急狀態,最後除了支付贖款(又是比特幣),還要讓外部資安公司與司法單位介入調查。
面對來勢洶洶、從虛擬世界入侵的各種攻擊,企業準備好了嗎?
為提高備戰能力,企業界近來大肆招聘資安高手,除導入ISO 27001資安管理、ISO 22301營運持續等認證,不少公司還委託第三方單位進行模擬攻擊或滲透測試,提早發現自家系統漏洞,更有人研究是否投保資安險,把風險轉嫁出去。
然而,檯面上這些遭披露的資安事件,很可能只是冰山一角,因為,多數受害企業都不願張揚,只想以息事寧人的方式保住商譽。
比方,3月8日在中部舉辦的一場女力論壇中,全球第二大記憶體模組廠「威剛科技」總經理陳玲娟,便透露了公司在前年遭勒索約10億元台幣的秘辛,不願向駭客屈服的她們,由高層帶領團隊在短時間內胼手胝足地重建系統,陣痛期間只能仰賴人工作業,過程異常艱辛。
事實上,世界經濟論譠(World Economic Forum,WEF)甫發表的《全球風險報告》(Global Risks Report 2023),過去未曾進入前十名的「數位犯罪與數位危險的擴散」,今年就跟「大規模非自願性移民」聯袂入榜,成為快速崛起的新興風險之一。
對重視ESG與永續的企業來說,資安更已是重中之重。以2022年「天下永續公民獎」的永續百強企業為例,即已有逾1/3(36家)將「網路威脅」列為最重要的前三大風險;不僅金融、電信等行業普遍重視,包括宏碁、友達、緯創、聯發科等科技業大廠,都把資安列為重大風險。
個資保護與數據管理,攸關ESG表現與品牌承諾
破財事小,更麻煩的是,數據保護、個人資料和隱私權,不僅是重要的「人權」議題,更是攸關企業營運穩定度和品牌承諾的大事!
有鑑於此,資安開始進入國際企業的ESG風險鑑別雷達,列為與利害關係人溝通的主題選項,諸如:道瓊永續指數(DJSI)、明晟永續指數(MSCI)、台灣的公司治理評鑑,都把資安管理與隱私保護納入評比,探詢企業的資安管理、防禦應變和營運恢復力。
可是難就難在,遭疫情洗禮後,異地上班和遠距會議等辦公模式愈來愈普及,當員工常用公司外的第三方網域或雲端服務,不但增加資安破口,也一再提高防禦挑戰。假使公司硬性要求上班不准用手機、筆電不能帶回家、資料不能傳雲端,勢必得面對員工的抱怨和反彈聲浪。
如何在Working From Home成常態的現況下強化資安?趨勢科技台灣暨香港區總經理洪偉淦建議,企業可掌握「零信任」原則,每次登入系統或存取資料都要驗證,並善用第三方查證、密碼管理、雙因子認證(第二驗證機制)、避免多帳號共用等方法,一來提高員工風險意識,也藉此提升企業防禦能力。
時至今日,科技與網路無疑是企業運作不可或缺的基礎建設,帶來前所未有的便利;卻也在同時間引來過去不曾面對的風險,尤其對具備永續思維的企業來說,資安絕不只是單一部門的責任,更是企業維持營運穩定度和品牌承諾的重中之重。一旦失守,將對企業的營運和聲譽帶來重大衝擊,絕對不容忽視。
試想,倘若客戶(消費者)因你的疏忽而洩漏了個人隱私、重要資料、甚至研發機密時,以後,他還會相信你嗎?
【參考資料】