企業資安漏洞頻傳 專家示警三大產業成駭客新目標

近期發生多起企業個資外洩風波，部分企業甚是因此遭駭客恐嚇，對此 KPMG 安侯企管公司表示，駭客近期攻擊對象已從大型上市櫃企業轉戰中小企業，包括交通觀光、百貨零售及網路服務等，已成為駭客鎖定新目標。

KPMG 安侯企管公司董事總經理謝昀澤表示，過去駭客主要鎖定金融、製造和上市櫃大型企業，近期則迅速移轉到中小型企業上，包括交通觀光、百貨零售業、及網路服務等擁有消費者巨量個資的行業已成為駭客新目標。

而駭客在攻擊上的分工也有所轉變，上游由「網路狙擊手」先「代攻」竊取資料後，再交由中游的「數據販子」分批、分時於暗網中兜售，最後經「下游」的「取款車手」，以各種心理戰、媒體戰專業恐嚇企業交付贖金取款，並同時製造斷點，是近年最常見的模式。

謝昀澤說明，歸納企業受駭事件受駭者的特徵，大多都有「資料庫重要的欄位未加密」、「技術人員錯誤的安全設定」、「未能及時修補弱點」等；以近期零售業個資外洩來看，本該最被嚴加安全保護的資料庫，不僅丟失資料內容外，連資料庫系統的內部管理介面也暴露在外部網路，簡言之，企業整體網路架構與資料存取控制，形同被駭客接管。

根據謝昀澤觀察，台灣企業資安能力強弱懸殊，大致可分成：對資安敏感，有能力預先蒐集情報，並掌握產業鏈整體風險的「真知卓見組」，例如部分的半導體與金融業公司。

另一種則是誤認有裝防毒軟體、防火牆，就是完成資安的「自我感覺良好組」；甚至已被外部通報個資外洩，而不知所措，只會重新安裝系統的「資安神經麻痺組」。

謝昀澤提醒，未來駭客「柿子挑軟的吃」的趨勢將更顯著，部份把資安當作「選配」的企業，被入侵暴雷事件將更頻繁，這些企業會面臨「駭客霸凌」、「輿論炎上」、「商譽崩塌」的三重壓力。

KPMG 安侯企管公司執行副總林大馗建議，企業先由獨立第三方，針對資安體質與現況進行詳細的健檢，並盡速辨識並修補漏洞，其中對資安採高標準的企業，可參考 2022 年最新版國際資訊安全標準的技術控制措施，透過如資料庫加密機制，讓駭客鋌而走險得手的資料喪失利用價值。

另外，企業也可透過較積極的資料外洩防護技術 (DLP) 措施，來管制員工資料存取與轉送的行為。

林大馗強調，現代化的企業要把資安視為「標準配備」，更要重視基本功，優先針對員工安全意識、資訊人員技術能力、資安政策與管理流程等多方面，積極進行補強。