再從攻擊來源來看,超過一半企業認為是駭客攻擊,但內部威脅也不能輕忽,從市調資訊看到有近四成比例是內部員工,還有一成是離職的前員工。更令人憂心的是,有一成企業不知道攻擊來源。企業最憂心的資安風險,或是員工疏忽、或是欠缺資安意識,其次是釣魚郵件、惡意程式與勒索軟體,占比均超過四成五,顯示不少的臺灣企業,都認同內部使用者就是整體資安最弱的一環。
「資安事件」對企業帶來的衝擊,公司主要的電腦系統內部未按照 SOP 程序進行病毒掃描所導致,可能會造成生產線的停擺,生產製造資料庫以及客戶資料 ……。我在公司內部的主管訓練營中也曾與我公司同仁分享某國際航空公司就是因為沒有按照SOP 進行測試,而是使用了經驗值造成了一台新飛機損失,我也表示任何之事件的產生若事前的 SOP該事件的標準作業流程若沒執行到位,公司所受到的損失將是無法計算的。對於如何避免同樣的狀況再度發生,除了任何資訊上可以管理的情事外,落實系統自動化檢查,更重要的是需要排除所有的人為因素,將可能性的風險先降到最低。
資安需要確實做好,公司要能夠從執行長高度,針對資安和IT設計不同的KPI,管理公司IT的資訊長,目標是降低成本、提升效率和改善效能;對資安長而言,資安是昂貴的,會降低系統效率、拖慢效能,但資安的KPI就是減少資安事件和提高企業營運安全,反之,損失會很慘重。回顧過去幾年間,全球許多知名企業都因為資安問題而吃足了苦頭。 在年初的電子報中,我也提及了我國行政院資通安全的「資安就是國安」,「因為沒有百分之百的安全,在今年年初總統府內就首次舉辦資安週建立「資訊安全」強調總體環境資訊安全的重要性,是政府為展現與落實「資安即國安」,用以加速數位國家的發展。所以企業體在面對各種資安威脅時,最重要的評估標準就是風險接受程度。」因此,政府在制定相關的資安防護策略時,都是以風險管理作為核心,這也可以從早期預警、持續監控、通報應變到協助改善等四個面向來看,如何落實相關的資安防護策略和步驟。如同要打造安全可信賴的數位企業,也可以從預警、監控、應變和改善等風險管理四面向,落實資安防護政策和步驟,若不巧在遭遇資安問題時的應變能力,也可以說是企業的實戰演練,雖是企業學到高代價的難得的資安經驗,對於加強往後的資安保護也有幫助。
