在過去幾年,資訊安全管理面對的挑戰是愈來愈大。在這數位時代下,隨著物聯網、大數據的崛起,個資保護意識也抬頭。2018年歐盟實施「最嚴個資法」GDPR,未來2019年台灣資安法也將全面強化。大家在資安管理上做好準備了嗎?
縱觀2018年全球發生許多數據洩露及資安問題的大事,例如英國航空公司也有38萬名乘客的信用卡支付資料被洩露,引來一場求償5億英鎊的團體訴訟。還有最受全球關注的Facebook臉書上,有三百萬名歐洲用戶的數據流失,允許第三方能藉由應用程式使用合約取得使用者的個人資料。以及不久前傳出的萬達酒店集團有5億人次的訊息被洩漏,引發軒然大波。在國內發生晶圓代工龍頭台積電因機台上線前未做好病毒掃描,導致 WannaCry 變種病毒入侵影響晶圓出貨時程以及成本增加,資誠智能風險管理諮詢(PWC)指出,從事件始末觀察,來自供應商的資安威脅不容忽視。
從上面例子可見,即使有層層資安設備依舊發生資料外洩。無論是名聞全球的大型網路服務公司、龐大的跨國金融機構,甚至航線遍及眾多國境的航空公司,以及國家層級的政府機構,這些組織的共通特色在於資安投資規模遠高於一般企業、機構,且大多已佈建新世代防火牆(NGFW)、入侵防禦系統(IPS)、網頁應用程式防火牆(WAF)、防毒軟體及 Anti-APT 等層層堆疊的資安設備,但仍無法避免個資遭洩或資安問題的悲劇發生。這可能會讓許多人倍感訝異,因為好像不管如何強化防守,甚至引進頂級資安設備,駭客依然有能力侵門踏戶,就如經典電影名句“生命會找到自己的出路”,駭客終會發掘出眾人尚未得知的弱點。
今天資安主管需要面對的不單只是企業內的幾十台、幾百台或幾千台的PC和伺服器,而是數不清的行動裝置和IoT/IIoT設備。據Gartner預測,到2020年全球使用中的連網物件數量將達到204億個。GSMA智庫預估,2025年全球的IIoT設備連接數量,將達到138億個,而大中華地區的連接數約為41億個,約佔全球工業市場的3分之1。隨著物聯網設備的激增在商業和工業領域,我們開始看到傳統IT和OT環境的融合。這種融合通過提供數據收集,關聯和分析的連接以及安全挑戰,為整個組織的信息共享創造了更具協作性,生產力和盈利的機會。
邁向物聯網(IoT)或工業物聯網(IIoT)全面連線生產環境下,企業對資訊防護的作為中,已不單純只是資訊人員的工作。從生產管理到資訊管理、甚至行銷、財務、總務等所有部門,從上到下的全體員工,都必須透過管理制度、觀念學習、制度規範等等手段,推動IoT/IIoT資訊安全的正確觀念,規範SOP行動標準,以共同抵禦來自四面八方的資安漏洞和可能威脅。
在Internet時代心人士將駭客當成賺錢工具;到了物聯網時代,企業及工廠的生產製造設備陸續連上雲端,物聯網設備目前的資安防護技術尚未完備,眾多的設備、閘道連結節點又可能存在許多未發現的漏洞。加上製造業相對缺乏資安保護意識與措施,企業和工廠仿佛就像一台忘了設定安全機制的提款機,隨時可能被駭客來提領。
企業在面對網際威脅,資產風險評估應該以資訊流為依據,找出各個需要防禦的節點。單就現有資訊基礎架構,恐擋不住網際威脅。需整合不同之網路安全技術,並透過各單位協同合作,建構多層次的縱深防禦機制,降低來自網際網路及內部網路的安全威脅風險。必需有效掌握所掌管的資訊環境,特別是需小心謹慎使用特權帳號。普遍企業出現內部管控問題,常常是空有ISMS系統,卻未切實落實。人員資安認知程度普遍不足或被忽視,對資安工作支持度低。企業為了降低營運成本,在資安方面的資源投入不足、資安決策層級太低。企業的安全措施必須讓組織上下所有員工充分了解。當發生網路攻擊時,往往沒有時間召開會議討論如何因應,因此安全議題必須成為整個組織一種持續性的討論主題。理想的安全方法是要在企業願意承擔的「風險」和投資在安全工具與技術的「預算」之間取得平衡。作為管理者、資訊、資安人員,對網路威脅認知必需加強再加強。務必製訂好資安事件處理計畫,當真的發生資安事件時才不會不知所措。