本會洪偉淦理事 : 資安不僅僅是技術問題

近年來重大資訊安全事件發生的頻率與產生的衝擊，都日益升高，幾乎每年都有一兩件讓所有國人關注的重大資訊安全事件發生，這當然非台灣獨有的現象，根據調研機構 Cybersecurity Ventures 預估， 2021 年全球因網路犯罪所造成的損失將高達六兆美元，而全球專業資訊安全人才的缺口，在 2019 年就已突破了 200 萬人。

隨著 5G 的開台，物聯網設備的急速成長，數位轉型成為企業與政府的必要戰略，不論是創新產品服務的開發、新型態商業模式建立、供應鏈的敏捷化等，資通訊科技都扮演著不可或缺的關鍵角色。相對的，網路威脅也將從傳統的資訊環境，進入物聯網的新世界，成為無所不在的風險。

如同發生在2016年十月份美國東岸的駭客 DDoS 攻擊（分散式阻斷服務攻擊）事件，電信商遭到當時史上最大流量的網路攻擊，導致七十餘種網路服務如 Netflix、Twitter、Spotify 等服務中斷。駭客就是入侵十餘萬支暴露在 internet 上有弱點的網路攝影機，集體對電信商發動攻擊。由此案例可以看出，若資安問題未能事先考量，政府或企業辛苦建立的資訊基礎建設，反而會被駭客利用而成為網路攻擊的最佳武器。

再者，拜新興科技之賜，許多過去必須由人工近距離操作的一些關鍵任務（Mission Critical）將可由人工智慧代勞或遠距進行，如遠距醫療、智慧農業、自駕車等將得以逐步實現。但也因此，網路威脅對此類關鍵任務的破壞，其造成的衝擊將更劇烈而全面。像終極警探 4.0 般的電影情節，終將真實上演。

資安儘管如此重要，但大部分的企業與組織對於網路威脅的因應能力仍然十分薄弱。以筆者的真實現場觀察，其中的根本問題，是對網路威脅風險的錯誤認知，尤其是企業的管理高層。

第一種錯誤的認知，是低估了網路威脅的風險。首先是低估了發生的機率，其實媒體揭露的資安事件，只是冰山的一角，大部分的資安事件，都是被祕而不宣的處理掉，水面之下，其實是波濤洶湧的。其次是低估了駭客的能耐，駭客圈是一個創新、開源、知識密集的社群，在高獲利、低風險的驅動下，攻擊手法日新月異。大部分的組織與企業仍用過時的防禦技術阻擋現今的威脅，通常都在事故發生後，才意識到駭客的能耐遠超過他們的想像。

第二種錯誤的認知，是將資安議題視為「技術問題」，事實上，資安是個管理面的議題，也極需組織內其他部門的支持。當我們的資訊架構只專注於方便性及可用性時，也大幅增加遭駭侵的風險。例如，許多製造業的工廠為維持其穩定的產能，資訊或資安人員都不得介入其工廠的環境，資安的防護機制也付之闕如。但駭客一旦成功入侵其工廠的網路，便如入無人之境般進行破壞。

技術固然重要，但資安問題的答案若僅限於此，資安是不可能有長足的改善並得以確保的。所以，惟有管理階層正確的認知與支持，才有可能制訂兼顧安全性與可用性的資訊架構與流程。同時也才能在實際執行時，得以取得業務單位的支持。

時至今日，企業管理階層需認知網路威脅已成為企業不可忽視的營運風險，而資安將不應只被視為成本，而是在數位轉型時代企業的競爭優勢。資安應用服務聯盟在政府的支持下，正鏈結資安、資服、製造業者跨域合作，共同建立智慧製造資安推動機制積極建立供需媒合機制，協助企業提出資安需求。

董事會也應責成經營團隊，辨識並評估企業面對的資安風險，以及企業對此風險的承受度，進而擬出降低或轉移風險的具體作為。而政府也因強化對企業資安風險管理的要求，以期成為公司治理的重要指標之一，以利企業在追求數位轉型之際，可在可控的風險內，為企業獲取最佳商機。

（發佈時間：2020-07-21）