在過去幾年,資訊安全管理面對的挑戰是愈來愈大。在這數位時代下,隨著物聯網、大數據的崛起,個資保護意識也抬頭。2018年歐盟實施「最嚴個資法」GDPR,未來2019年台灣資安法也將全面強化。大家在資安管理上做好準備了嗎?
縱觀2018年全球發生許多數據洩露及資安問題的大事,例如英國航空公司也有38萬名乘客的信用卡支付資料被洩露,引來一場求償5億英鎊的團體訴訟。還有最受全球關注的Facebook臉書上,有三百萬名歐洲用戶的數據流失,允許第三方能藉由應用程式使用合約取得使用者的個人資料。以及不久前傳出的萬達酒店集團有5億人次的訊息被洩漏,引發軒然大波。在國內發生晶圓代工龍頭台積電因機台上線前未做好病毒掃描,導致 WannaCry 變種病毒入侵影響晶圓出貨時程以及成本增加,資誠智能風險管理諮詢(PWC)指出,從事件始末觀察,來自供應商的資安威脅不容忽視。
從上面例子可見,即使有層層資安設備依舊發生資料外洩。無論是名聞全球的大型網路服務公司、龐大的跨國金融機構,甚至航線遍及眾多國境的航空公司,以及國家層級的政府機構,這些組織的共通特色在於資安投資規模遠高於一般企業、機構,且大多已佈建新世代防火牆(NGFW)、入侵防禦系統(IPS)、網頁應用程式防火牆(WAF)、防毒軟體及 Anti-APT 等層層堆疊的資安設備,但仍無法避免個資遭洩或資安問題的悲劇發生。這可能會讓許多人倍感訝異,因為好像不管如何強化防守,甚至引進頂級資安設備,駭客依然有能力侵門踏戶,就如經典電影名句“生命會找到自己的出路”,駭客終會發掘出眾人尚未得知的弱點。
今天資安主管需要面對的不單只是企業內的幾十台、幾百台或幾千台的PC和伺服器,而是數不清的行動裝置和IoT/IIoT設備。據Gartner預測,到2020年全球使用中的連網物件數量將達到204億個。GSMA智庫預估,2025年全球的IIoT設備連接數量,將達到138億個,而大中華地區的連接數約為41億個,約佔全球工業市場的3分之1。隨著物聯網設備的激增在商業和工業領域,我們開始看到傳統IT和OT環境的融合。這種融合通過提供數據收集,關聯和分析的連接以及安全挑戰,為整個組織的信息共享創造了更具協作性,生產力和盈利的機會。
邁向物聯網(IoT)或工業物聯網(IIoT)全面連線生產環境下,企業對資訊防護的作為中,已不單純只是資訊人員的工作。從生產管理到資訊管理、甚至行銷、財務、總務等所有部門,從上到下的全體員工,都必須透過管理制度、觀念學習、制度規範等等手段,推動IoT/IIoT資訊安全的正確觀念,規範SOP行動標準,以共同抵禦來自四面八方的資安漏洞和可能威脅。
在Internet時代心人士將駭客當成賺錢工具;到了物聯網時代,企業及工廠的生產製造設備陸續連上雲端,物聯網設備目前的資安防護技術尚未完備,眾多的設備、閘道連結節點又可能存在許多未發現的漏洞。加上製造業相對缺乏資安保護意識與措施,企業和工廠仿佛就像一台忘了設定安全機制的提款機,隨時可能被駭客來提領。
企業在面對網際威脅,資產風險評估應該以資訊流為依據,找出各個需要防禦的節點。單就現有資訊基礎架構,恐擋不住網際威脅。需整合不同之網路安全技術,並透過各單位協同合作,建構多層次的縱深防禦機制,降低來自網際網路及內部網路的安全威脅風險。必需有效掌握所掌管的資訊環境,特別是需小心謹慎使用特權帳號。普遍企業出現內部管控問題,常常是空有ISMS系統,卻未切實落實。人員資安認知程度普遍不足或被忽視,對資安工作支持度低。企業為了降低營運成本,在資安方面的資源投入不足、資安決策層級太低。企業的安全措施必須讓組織上下所有員工充分了解。當發生網路攻擊時,往往沒有時間召開會議討論如何因應,因此安全議題必須成為整個組織一種持續性的討論主題。理想的安全方法是要在企業願意承擔的「風險」和投資在安全工具與技術的「預算」之間取得平衡。作為管理者、資訊、資安人員,對網路威脅認知必需加強再加強。務必製訂好資安事件處理計畫,當真的發生資安事件時才不會不知所措。

相 關 產 品

智慧醫療智慧醫療

09 Oct, 2020

BU4美編專用 AI應用
Read More
智慧教室智慧教室

16 Oct, 2020

BU4美編專用 AI應用
Read More
工廠設備預知保養工廠設備預知保養

17 Sep, 2020

BU4美編專用 AI應用
Read More
生產製程優化生產製程優化

17 Sep, 2020

BU4美編專用 AI應用
Read More