menu-icon
anue logo
熱門時事鉅亨號鉅亨買幣
search icon

雜誌

防駭悍將資安長

遠見雜誌 2023-05-24 15:54

cover image of news article
(圖:遠見雜誌)

文 / 羅之盈  

毋庸置疑,駭客已經變成一個新興產業,無差別攻擊大小企業、政府機關、銀行、廣告看板。甚至有此一說,物聯網是駭客圈 Killer App(殺手級應用),因為萬物互聯,就代表萬物可被駭。 


換言之,這場看不見的資訊安全大戰,代表攻擊的駭客們正步步進逼,而必須守住重要資訊的這一方卻節節敗退。光是在台灣,2022 年網路威脅偵測數量就高達 1460 億項,年增 55%的幅度讓人擔憂,企業或政府的資安能讓人放心嗎? 

或許正因威脅升高與挑戰加劇,政府也規定所有的上市櫃公司,必須在今年內設立資安長(Chief Information Security Officer, CISO)。此外,資安長除了抗駭外,更肩負企業數位轉型二次加速重責大任。資安長,已是現代企業不可或缺的標準配備之一。 

假若「駭客攻擊與相關網路犯罪」是一個「經濟體」的話,它的「GDP 生產毛額」,僅低於美國、中國、歐盟,竟然是「世界第四大經濟體」! 

根據國際資安調研機構 Cybersecurity Ventures 數據,2021 年網絡犯罪在全球吸納 6 兆美元,「網路犯罪國的 GDP」低於美國 23 兆美元、中國 17.7 兆美元、歐盟 17 兆美元,到了 2025 年,甚至可達 10.5 兆美元。 

駭客無差別攻擊企業、機關 資安大戰守方節節敗退 

趨勢科技數據顯示,2022 年網路威脅偵測數量高達 1460 億項(表 1),再創歷史新高,年增 55%的幅度也創紀錄。
 
駭客透過無差別攻擊,散射所有產業的消費者和企業機構,造成攔截的惡意程式檔案數量暴增 242%。 

這場永不止歇的資安大戰,攻方正在攻城掠地,守方正在節節敗退! 

根據國際調研機構 Gartner 預測,全球企業資安支出 2023 年高達 1883 億美元,龐大的資安防護費用,對應「網路犯罪國的 GDP」高達 6~10 兆美元,顯得蒼白無力。 

細部觀察台灣資安市場 2022 年 692 億元台幣、五年複合成長率約僅 10%(表 2),可見企業資安支出成長緩慢,過去多是觀望態度,或是遭受攻擊、進而淪陷後,才增強防護。 


從台灣從不止歇的資安事件,可見一斑,近期舉凡總統府、國防部、桃園醫院等(表 3);金融業的台灣銀行、兆豐銀行﹔科技業的飛宏科技;車輛服務的 Uber、iRent、格上租車;零售業的微風廣場等,受到攻擊的單位組織散布各行各業。 

為了保護消費者權益,以及防止產業生產斷鏈,政府剛柔並濟,加速台灣整體防衛。 

經濟部和財政部 2022 年 7 月首度釋出,資安費用抵稅申請,包括三年內企業購置的資安產品,不論是硬體、軟體、技術或技術服務,只要超過 100 萬元以上,10 億元以下,都可申報 3~5%減抵稅額。 

同時,政府給予企業組織層面的規範。 

2021 年金管會明令上市櫃公司設立資安專責團隊,2022 年底,已有 113 家大型企業第一批完成設立資訊安全長,2023 年擴大施行企業的範疇,全面要求上市櫃公司跟進設立,共計有 1367 家在 2023 年底前,需要完成資安團隊建置。 

企業 CISO 資安長(Chief Information Security Officer)大軍,正在集結聯防。 

奇怪的是,資安議題並非新鮮議題,防衛技術也從未懈怠,為何近年愈演愈烈? 

「網路攻擊在 2018 年後陡升,主要是數位轉型驅動之下,企業被攻擊的『介面』變多了」,趨勢科技總經理洪偉淦苦笑地說,「駭客圈有一個說法,『物聯網』是他們的 Killer App(殺手級應用),因為萬物互聯,就代表萬物可被駭。」 

洪偉淦指出,疫情趨動的遠距工作型態,讓企業內網外網邊界模糊,防衛變得複雜,更麻煩的是,台灣產業多是彼此相連的上下游,冗長的供應鏈,讓駭客只要找到一個破口,就可以循線往上又往下。 

所以資安不再能自掃門前雪,所以迫使政府的介入,加速拉動產業聯防,人員部屬就是重要一環。 

「其實企業現在大多有了資安意識,非常重視,也願意花錢,不過駭客攻擊的方式,變化太快了,」達文西個資暨高科技法律事務所所長葉奇鑫,曾為網路犯罪專組檢察官,參與草擬《刑法》第 36 章「妨害電腦使用罪章」。 

他指出,檯面上看到的資安事件,常常是已經在內部爆了一次、二次,企業也都有清理與加強防護,「但現在的駭客技術可以潛伏,他研究你的系統,摸得比你還熟,埋了一層又一層,最後企業甚至得重寫架構才能清理乾淨」。 

疫情掀起數位轉型大浪 資安長抗駭角色吃重 

盤整資安攻防戰,企業防守比起過去更為困難(表 4),再加上加密貨幣讓駭客更容易取財,驅動駭客技術日新月異,甚至駭客集團化、產業化。 

數位發展部產業署副署長林俊秀表示,資安攻防戰愈打愈複雜,企業需要更多資源防衛,需要全盤戰略,這是經營管理層次的議題,政府不一定有能力做好,所以從「設立資安長」的規範,來拉動企業警覺。 

不僅企業間有了明確的合作窗口,進而促成各式「資安長聯盟」,讓產業自行形成聯防陣列。 

2017 年 10 月國際大型駭客組織攻擊全球多家銀行,遠東商銀受到波及,駭客盜轉 6000 萬美元,雖然及時擋住,但也推動遠銀全盤調整防衛架構,調整幾百台主機的網路安全區,強化縱深與防衛的複合布局,並調整專責資安團隊。 

遠東商銀資安長劉龍光表示,「我們很重視內部資安人才培育」,過去資安人員多數是來自 IT 資訊部門,但現在必須得「多元化」,資安人員需要理解內部產品與營運,才知道怎麼保護,讓營運不中斷。 

遠銀資安專責團隊現有 12 位成員,來自業務、後勤、運營等單位,從不同視角建立制度,以及符合產業法規。「複合式內部選任形式」,提供其他企業資安人才缺口的解方。 

2500 名資安人才缺口,搶人大戰開打 

從資安長設立規範來看,今年上市櫃公司 1367 家,都需要設立 1~3 人專責團隊,所以至少需要 2500 名資安人員。104 人力銀行數據顯示,2021 年資安人才需求相較 5 年前,成長 2.5 倍之多,搶人大戰早就上演。 

再加上金管會規範「資安人員不得兼辦資訊業務」,讓企業數位人才調度,更顯捉襟見肘。 

合勤科技資安長游政卿認同「分立」概念,曾為資訊長多年的他,直言資安如果不獨立,團隊就會權衡,是要 IT 的效率,還是要資訊的安全,「其實沒有一個可以做得好。這時候企業數位轉型的經驗,就非常重要,因為如果上一波數位轉型轉得好,企業文化已經被洗練過了一次。」 

趨勢科技總經理洪偉淦認為,內部培養才是正途,因為不管在產業裡的人,或應屆畢業生,總數都太少了。 

「有一種方法是資訊與資安定期輪調,」他表示,資安單位通常是訂定計畫,資訊團隊則負責執行,兩邊理解愈深,合作才能無間,因為沒設計好的流程、沒執行到位的斷點,都可能變成駭客攻擊的弱點。 

2020 年因為疫情掀起的數位轉型大浪,兩年之間讓企業資料與雲端作業變成日常,當重要資產上網之後,就需要替它們部屬足夠的安全防衛。 

資安長設立是企業資訊自衛隊的隊長,也是數位轉型二次加速的起點。 

安碁資訊吳乙南:我聽過林志玲,沒聽過「零資安」
 
「駭客攻擊手法,每一次都前所未有」,台灣資安專家、安碁資訊總經理吳乙南,感嘆駭客攻擊範圍以及帶來的損害,近年愈來愈大,「數位化、數位轉型、雲端,都提供一個駭客溫床。」  

不過數位轉型是不可逆的趨勢,企業該如何擁有足夠的資安防衛、又兼顧數位化效率?  

吳乙南表示,要先認清一個事實,那就是每個企業必定會有資安問題,因此「零資安、零攻破」是不可能的,就像要求空氣裡零病毒,同樣是不可能,「所以我都說,我聽過林志玲,但沒聽過『零資安』。」
 
但並不代表企業就得繳械躺平,最基本的防禦工事就是「投資」,而且是有策略、步驟的巧妙投資。  

現代的資安防護,基本上已經不是單純的資訊技術議題,已經是「風險控制」議題,因為無法做到百分百防護,但可以減少災害損失。例如銀行裡最重要的是日常作業系統,還有 ATM 聯網與資訊,其他諸如外匯系統,就可往後放,企業需要先做資產盤查,再做衝擊分析,再安排資源進入。  

安碁資訊於 2003 年開始執行國家級資安即時監控(Security Operation Center, SOC)專案,為國家資安會報建置最高規格 SOC,已有 20 年功力。2017 年後建立 ISO17025 實驗室認證的 SOC 自建數位鑑識中心,並取得國際認證,鑑識結果可在全球同樣通過 ISO 規範的各實驗室間,相互通報,面對跨國駭客戰役,又更為即時的攻擊情報。

【本文摘自遠見雜誌 5 月號;更多文章請上遠見雜誌官網:https://www.gvm.com.tw/


Empty