digi@你詐不到我

本會洪偉淦理事 : 資安不僅僅是技術問題



近年來重大資訊安全事件發生的頻率與產生的衝擊,都日益升高,幾乎每年都有一兩件讓所有國人關注的重大資訊安全事件發生,這當然非台灣獨有的現象,根據調研機構 Cybersecurity Ventures 預估, 2021 年全球因網路犯罪所造成的損失將高達六兆美元,而全球專業資訊安全人才的缺口,在 2019 年就已突破了 200 萬人。

隨著 5G 的開台,物聯網設備的急速成長,數位轉型成為企業與政府的必要戰略,不論是創新產品服務的開發、新型態商業模式建立、供應鏈的敏捷化等,資通訊科技都扮演著不可或缺的關鍵角色。相對的,網路威脅也將從傳統的資訊環境,進入物聯網的新世界,成為無所不在的風險。

如同發生在2016年十月份美國東岸的駭客 DDoS 攻擊(分散式阻斷服務攻擊)事件,電信商遭到當時史上最大流量的網路攻擊,導致七十餘種網路服務如 Netflix、Twitter、Spotify 等服務中斷。駭客就是入侵十餘萬支暴露在 internet 上有弱點的網路攝影機,集體對電信商發動攻擊。由此案例可以看出,若資安問題未能事先考量,政府或企業辛苦建立的資訊基礎建設,反而會被駭客利用而成為網路攻擊的最佳武器。

再者,拜新興科技之賜,許多過去必須由人工近距離操作的一些關鍵任務(Mission Critical)將可由人工智慧代勞或遠距進行,如遠距醫療、智慧農業、自駕車等將得以逐步實現。但也因此,網路威脅對此類關鍵任務的破壞,其造成的衝擊將更劇烈而全面。像終極警探 4.0 般的電影情節,終將真實上演。

資安儘管如此重要,但大部分的企業與組織對於網路威脅的因應能力仍然十分薄弱。以筆者的真實現場觀察,其中的根本問題,是對網路威脅風險的錯誤認知,尤其是企業的管理高層。

第一種錯誤的認知,是低估了網路威脅的風險。首先是低估了發生的機率,其實媒體揭露的資安事件,只是冰山的一角,大部分的資安事件,都是被祕而不宣的處理掉,水面之下,其實是波濤洶湧的。其次是低估了駭客的能耐,駭客圈是一個創新、開源、知識密集的社群,在高獲利、低風險的驅動下,攻擊手法日新月異。大部分的組織與企業仍用過時的防禦技術阻擋現今的威脅,通常都在事故發生後,才意識到駭客的能耐遠超過他們的想像。

第二種錯誤的認知,是將資安議題視為「技術問題」,事實上,資安是個管理面的議題,也極需組織內其他部門的支持。當我們的資訊架構只專注於方便性及可用性時,也大幅增加遭駭侵的風險。例如,許多製造業的工廠為維持其穩定的產能,資訊或資安人員都不得介入其工廠的環境,資安的防護機制也付之闕如。但駭客一旦成功入侵其工廠的網路,便如入無人之境般進行破壞。

技術固然重要,但資安問題的答案若僅限於此,資安是不可能有長足的改善並得以確保的。所以,惟有管理階層正確的認知與支持,才有可能制訂兼顧安全性與可用性的資訊架構與流程。同時也才能在實際執行時,得以取得業務單位的支持。

時至今日,企業管理階層需認知網路威脅已成為企業不可忽視的營運風險,而資安將不應只被視為成本,而是在數位轉型時代企業的競爭優勢。資安應用服務聯盟在政府的支持下,正鏈結資安、資服、製造業者跨域合作,共同建立智慧製造資安推動機制積極建立供需媒合機制,協助企業提出資安需求。

董事會也應責成經營團隊,辨識並評估企業面對的資安風險,以及企業對此風險的承受度,進而擬出降低或轉移風險的具體作為。而政府也因強化對企業資安風險管理的要求,以期成為公司治理的重要指標之一,以利企業在追求數位轉型之際,可在可控的風險內,為企業獲取最佳商機。


(發佈時間:2020-07-21)

上一則 下一則
回列表頁
轉寄   列印   分享
照片新聞
全力支持新創 本會何春盛常務理事出席InnoVEX 2024 Night Party
行政院長卓榮泰參訪2024 InnoVEX
本會在COMPUTEX、InnoVEX設置TCA 50展位 歡慶TCA 50周年
行政院長陳建仁參訪國發會「臺灣淨零願景館」
東京電玩展推手CESA來台 與本會共同為台日遊戲產業發展助力
大專資服競賽數位人才媒合會 獲企業和求職者肯定
專題報導
影音專區
【未來科技不斷電】奈米高熵氧化物花卉發光技術之極光蘭花應用於室內減碳技術
【未來科技不斷電】多維奈米銀鍍層之可拉伸導電纖維應變感測器
【未來科技不斷電】全球首創以弱監督式多實例學習框架精準解析數位病理影像之基因表現及存活預測
【未來科技不斷電】多孔電極與非貴金屬觸媒:陰離子交換膜水電解技術的未來
【未來科技不斷電】介面聚電解質絡合紡織技術製備生物啟發的人工韌帶應用於韌帶再生
【未來科技不斷電】高靈敏經濟可靠拉曼光譜篩檢晶片於食安的快速篩檢應用