防駭悍將資安長

文 / 羅之盈  

毋庸置疑，駭客已經變成一個新興產業，無差別攻擊大小企業、政府機關、銀行、廣告看板。甚至有此一說，物聯網是駭客圈 Killer App（殺手級應用），因為萬物互聯，就代表萬物可被駭。 

換言之，這場看不見的資訊安全大戰，代表攻擊的駭客們正步步進逼，而必須守住重要資訊的這一方卻節節敗退。光是在台灣，2022 年網路威脅偵測數量就高達 1460 億項，年增 55％的幅度讓人擔憂，企業或政府的資安能讓人放心嗎？ 

或許正因威脅升高與挑戰加劇，政府也規定所有的上市櫃公司，必須在今年內設立資安長（Chief Information Security Officer, CISO）。此外，資安長除了抗駭外，更肩負企業數位轉型二次加速重責大任。資安長，已是現代企業不可或缺的標準配備之一。 

假若「駭客攻擊與相關網路犯罪」是一個「經濟體」的話，它的「GDP 生產毛額」，僅低於美國、中國、歐盟，竟然是「世界第四大經濟體」！ 

根據國際資安調研機構 Cybersecurity Ventures 數據，2021 年網絡犯罪在全球吸納 6 兆美元，「網路犯罪國的 GDP」低於美國 23 兆美元、中國 17.7 兆美元、歐盟 17 兆美元，到了 2025 年，甚至可達 10.5 兆美元。 

駭客無差別攻擊企業、機關 資安大戰守方節節敗退 

趨勢科技數據顯示，2022 年網路威脅偵測數量高達 1460 億項（表 1），再創歷史新高，年增 55％的幅度也創紀錄。
 
駭客透過無差別攻擊，散射所有產業的消費者和企業機構，造成攔截的惡意程式檔案數量暴增 242％。 

這場永不止歇的資安大戰，攻方正在攻城掠地，守方正在節節敗退！ 

根據國際調研機構 Gartner 預測，全球企業資安支出 2023 年高達 1883 億美元，龐大的資安防護費用，對應「網路犯罪國的 GDP」高達 6～10 兆美元，顯得蒼白無力。 

細部觀察台灣資安市場 2022 年 692 億元台幣、五年複合成長率約僅 10％（表 2），可見企業資安支出成長緩慢，過去多是觀望態度，或是遭受攻擊、進而淪陷後，才增強防護。 

從台灣從不止歇的資安事件，可見一斑，近期舉凡總統府、國防部、桃園醫院等（表 3）；金融業的台灣銀行、兆豐銀行﹔科技業的飛宏科技；車輛服務的 Uber、iRent、格上租車；零售業的微風廣場等，受到攻擊的單位組織散布各行各業。 

為了保護消費者權益，以及防止產業生產斷鏈，政府剛柔並濟，加速台灣整體防衛。 

經濟部和財政部 2022 年 7 月首度釋出，資安費用抵稅申請，包括三年內企業購置的資安產品，不論是硬體、軟體、技術或技術服務，只要超過 100 萬元以上，10 億元以下，都可申報 3～5％減抵稅額。 

同時，政府給予企業組織層面的規範。 

2021 年金管會明令上市櫃公司設立資安專責團隊，2022 年底，已有 113 家大型企業第一批完成設立資訊安全長，2023 年擴大施行企業的範疇，全面要求上市櫃公司跟進設立，共計有 1367 家在 2023 年底前，需要完成資安團隊建置。 

企業 CISO 資安長（Chief Information Security Officer）大軍，正在集結聯防。 

奇怪的是，資安議題並非新鮮議題，防衛技術也從未懈怠，為何近年愈演愈烈？ 

「網路攻擊在 2018 年後陡升，主要是數位轉型驅動之下，企業被攻擊的『介面』變多了」，趨勢科技總經理洪偉淦苦笑地說，「駭客圈有一個說法，『物聯網』是他們的 Killer App（殺手級應用），因為萬物互聯，就代表萬物可被駭。」 

洪偉淦指出，疫情趨動的遠距工作型態，讓企業內網外網邊界模糊，防衛變得複雜，更麻煩的是，台灣產業多是彼此相連的上下游，冗長的供應鏈，讓駭客只要找到一個破口，就可以循線往上又往下。 

所以資安不再能自掃門前雪，所以迫使政府的介入，加速拉動產業聯防，人員部屬就是重要一環。 

「其實企業現在大多有了資安意識，非常重視，也願意花錢，不過駭客攻擊的方式，變化太快了，」達文西個資暨高科技法律事務所所長葉奇鑫，曾為網路犯罪專組檢察官，參與草擬《刑法》第 36 章「妨害電腦使用罪章」。 

他指出，檯面上看到的資安事件，常常是已經在內部爆了一次、二次，企業也都有清理與加強防護，「但現在的駭客技術可以潛伏，他研究你的系統，摸得比你還熟，埋了一層又一層，最後企業甚至得重寫架構才能清理乾淨」。 

疫情掀起數位轉型大浪 資安長抗駭角色吃重 

盤整資安攻防戰，企業防守比起過去更為困難（表 4），再加上加密貨幣讓駭客更容易取財，驅動駭客技術日新月異，甚至駭客集團化、產業化。 

數位發展部產業署副署長林俊秀表示，資安攻防戰愈打愈複雜，企業需要更多資源防衛，需要全盤戰略，這是經營管理層次的議題，政府不一定有能力做好，所以從「設立資安長」的規範，來拉動企業警覺。 

不僅企業間有了明確的合作窗口，進而促成各式「資安長聯盟」，讓產業自行形成聯防陣列。 

2017 年 10 月國際大型駭客組織攻擊全球多家銀行，遠東商銀受到波及，駭客盜轉 6000 萬美元，雖然及時擋住，但也推動遠銀全盤調整防衛架構，調整幾百台主機的網路安全區，強化縱深與防衛的複合布局，並調整專責資安團隊。 

遠東商銀資安長劉龍光表示，「我們很重視內部資安人才培育」，過去資安人員多數是來自 IT 資訊部門，但現在必須得「多元化」，資安人員需要理解內部產品與營運，才知道怎麼保護，讓營運不中斷。 

遠銀資安專責團隊現有 12 位成員，來自業務、後勤、運營等單位，從不同視角建立制度，以及符合產業法規。「複合式內部選任形式」，提供其他企業資安人才缺口的解方。 

2500 名資安人才缺口，搶人大戰開打 

從資安長設立規範來看，今年上市櫃公司 1367 家，都需要設立 1～3 人專責團隊，所以至少需要 2500 名資安人員。104 人力銀行數據顯示，2021 年資安人才需求相較 5 年前，成長 2.5 倍之多，搶人大戰早就上演。 

再加上金管會規範「資安人員不得兼辦資訊業務」，讓企業數位人才調度，更顯捉襟見肘。 

合勤科技資安長游政卿認同「分立」概念，曾為資訊長多年的他，直言資安如果不獨立，團隊就會權衡，是要 IT 的效率，還是要資訊的安全，「其實沒有一個可以做得好。這時候企業數位轉型的經驗，就非常重要，因為如果上一波數位轉型轉得好，企業文化已經被洗練過了一次。」 

趨勢科技總經理洪偉淦認為，內部培養才是正途，因為不管在產業裡的人，或應屆畢業生，總數都太少了。 

「有一種方法是資訊與資安定期輪調，」他表示，資安單位通常是訂定計畫，資訊團隊則負責執行，兩邊理解愈深，合作才能無間，因為沒設計好的流程、沒執行到位的斷點，都可能變成駭客攻擊的弱點。 

2020 年因為疫情掀起的數位轉型大浪，兩年之間讓企業資料與雲端作業變成日常，當重要資產上網之後，就需要替它們部屬足夠的安全防衛。 

資安長設立是企業資訊自衛隊的隊長，也是數位轉型二次加速的起點。 

安碁資訊吳乙南：我聽過林志玲，沒聽過「零資安」
 
「駭客攻擊手法，每一次都前所未有」，台灣資安專家、安碁資訊總經理吳乙南，感嘆駭客攻擊範圍以及帶來的損害，近年愈來愈大，「數位化、數位轉型、雲端，都提供一個駭客溫床。」  

不過數位轉型是不可逆的趨勢，企業該如何擁有足夠的資安防衛、又兼顧數位化效率？  

吳乙南表示，要先認清一個事實，那就是每個企業必定會有資安問題，因此「零資安、零攻破」是不可能的，就像要求空氣裡零病毒，同樣是不可能，「所以我都說，我聽過林志玲，但沒聽過『零資安』。」
 
但並不代表企業就得繳械躺平，最基本的防禦工事就是「投資」，而且是有策略、步驟的巧妙投資。  

現代的資安防護，基本上已經不是單純的資訊技術議題，已經是「風險控制」議題，因為無法做到百分百防護，但可以減少災害損失。例如銀行裡最重要的是日常作業系統，還有 ATM 聯網與資訊，其他諸如外匯系統，就可往後放，企業需要先做資產盤查，再做衝擊分析，再安排資源進入。  

安碁資訊於 2003 年開始執行國家級資安即時監控（Security Operation Center, SOC）專案，為國家資安會報建置最高規格 SOC，已有 20 年功力。2017 年後建立 ISO17025 實驗室認證的 SOC 自建數位鑑識中心，並取得國際認證，鑑識結果可在全球同樣通過 ISO 規範的各實驗室間，相互通報，面對跨國駭客戰役，又更為即時的攻擊情報。

【本文摘自遠見雜誌 5 月號；更多文章請上遠見雜誌官網：https://www.gvm.com.tw/】