本會洪偉淦理事 : 資安不僅僅是技術問題
近年來重大資訊安全事件發生的頻率與產生的衝擊,都日益升高,幾乎每年都有一兩件讓所有國人關注的重大資訊安全事件發生,這當然非台灣獨有的現象,根據調研機構 Cybersecurity Ventures 預估, 2021 年全球因網路犯罪所造成的損失將高達六兆美元,而全球專業資訊安全人才的缺口,在 2019 年就已突破了 200 萬人。
隨著 5G 的開台,物聯網設備的急速成長,數位轉型成為企業與政府的必要戰略,不論是創新產品服務的開發、新型態商業模式建立、供應鏈的敏捷化等,資通訊科技都扮演著不可或缺的關鍵角色。相對的,網路威脅也將從傳統的資訊環境,進入物聯網的新世界,成為無所不在的風險。
如同發生在2016年十月份美國東岸的駭客 DDoS 攻擊(分散式阻斷服務攻擊)事件,電信商遭到當時史上最大流量的網路攻擊,導致七十餘種網路服務如 Netflix、Twitter、Spotify 等服務中斷。駭客就是入侵十餘萬支暴露在 internet 上有弱點的網路攝影機,集體對電信商發動攻擊。由此案例可以看出,若資安問題未能事先考量,政府或企業辛苦建立的資訊基礎建設,反而會被駭客利用而成為網路攻擊的最佳武器。
再者,拜新興科技之賜,許多過去必須由人工近距離操作的一些關鍵任務(Mission Critical)將可由人工智慧代勞或遠距進行,如遠距醫療、智慧農業、自駕車等將得以逐步實現。但也因此,網路威脅對此類關鍵任務的破壞,其造成的衝擊將更劇烈而全面。像終極警探 4.0 般的電影情節,終將真實上演。
資安儘管如此重要,但大部分的企業與組織對於網路威脅的因應能力仍然十分薄弱。以筆者的真實現場觀察,其中的根本問題,是對網路威脅風險的錯誤認知,尤其是企業的管理高層。
第一種錯誤的認知,是低估了網路威脅的風險。首先是低估了發生的機率,其實媒體揭露的資安事件,只是冰山的一角,大部分的資安事件,都是被祕而不宣的處理掉,水面之下,其實是波濤洶湧的。其次是低估了駭客的能耐,駭客圈是一個創新、開源、知識密集的社群,在高獲利、低風險的驅動下,攻擊手法日新月異。大部分的組織與企業仍用過時的防禦技術阻擋現今的威脅,通常都在事故發生後,才意識到駭客的能耐遠超過他們的想像。
第二種錯誤的認知,是將資安議題視為「技術問題」,事實上,資安是個管理面的議題,也極需組織內其他部門的支持。當我們的資訊架構只專注於方便性及可用性時,也大幅增加遭駭侵的風險。例如,許多製造業的工廠為維持其穩定的產能,資訊或資安人員都不得介入其工廠的環境,資安的防護機制也付之闕如。但駭客一旦成功入侵其工廠的網路,便如入無人之境般進行破壞。
技術固然重要,但資安問題的答案若僅限於此,資安是不可能有長足的改善並得以確保的。所以,惟有管理階層正確的認知與支持,才有可能制訂兼顧安全性與可用性的資訊架構與流程。同時也才能在實際執行時,得以取得業務單位的支持。
時至今日,企業管理階層需認知網路威脅已成為企業不可忽視的營運風險,而資安將不應只被視為成本,而是在數位轉型時代企業的競爭優勢。資安應用服務聯盟在政府的支持下,正鏈結資安、資服、製造業者跨域合作,共同建立智慧製造資安推動機制積極建立供需媒合機制,協助企業提出資安需求。
董事會也應責成經營團隊,辨識並評估企業面對的資安風險,以及企業對此風險的承受度,進而擬出降低或轉移風險的具體作為。而政府也因強化對企業資安風險管理的要求,以期成為公司治理的重要指標之一,以利企業在追求數位轉型之際,可在可控的風險內,為企業獲取最佳商機。
(發佈時間:2020-07-21)