根據IDC(國際數據資訊)最新發布的研究數據預估,台灣資安服務市場持續發展,至2023年的年複合增長率將達21%,為資安市場中最主要的增長動能。IDC台灣資深市場分析師林雅惠說明,台灣資安服務市場的類型,首先是顧問諮詢服務,協助擬定資安整體策略或資料治理,稱之為專業資安服務(PSS);其次是資安託管服務(MSS)廠商提供的資安監控中心(SOC),藉由蒐集客戶端的資安設備資料,進行遠端監控、關聯分析日誌與處理事件告警,近年來更進一步整合第三方情資提高偵測能力,並且延伸提供事件調查與處置服務;第三種服務型態則是採購解決方案時預設搭配的部署服務。
前述三者的比重,專業資安服務與資安託管服務大約各佔三成,部署服務則為四成。林雅惠進一步說明,實際上,部署資安產品產生的服務,無法反映出企業對資安委外的投資,只能代表現在投資自建的狀態。對企業最有幫助的是專業資安服務與資安託管服務,也是IDC對於資安服務發展觀察的重點。
專業資安服務與託管漸成主流
對於專業資安服務需求殷切的企業,林雅惠觀察,通常數位化成熟度較高,例如金融業,需要的可能不只是資安託管服務提供的網路監控項目,畢竟金融業深受法規監管約束,在安全控管措施方面發展較早、架構也較為完整,可說是本土少數內部培養資安團隊的產業。這類數位化程度較高的企業,需要的是專業資安服務,藉此優化數位鑑識流程、制定資料治理的計畫。
至於資安託管服務,近幾年較大宗的需求單位是政府、高科技製造業。政府組織的驅動力主要來自2019年開始實施的資通安全管理法(簡稱資安法),畢竟即便強制要求設立專職人員,也不見得聘請得到合適的人才,短時間內仍舊得仰仗外部資安專家協助日常工作或培育。
至於高科技業目前自主性投入強化資安等級的是半導體製造。台積電晶圓廠遭到勒索軟體感染事件讓許多製造業引以為戒,即使已經採取最高標準控管措施仍舊會爆發資安事件,讓資安意識較高的業主開始思考因應對策,資安託管服務的網路監控可說是最簡單實現方式之一。此時,企業或許尚未能建立一套完整的資安管理政策,至少有持續地監控、出事時可立刻收到通知,甚至是有外部資安專家到現場協助調查與處置。
資安演進成為營運風險指標之一
從2017年券商集體遭DDoS攻擊勒索事件,到2018年台積電晶圓廠被勒索軟體感染,在這些重大資安事件發生前,本土企業對於資安相關議題並不熱衷。林雅惠指出,若以資安相關解決方案在台灣銷售狀況來看,2018下半年過後呈現直線上揚的狀態,顯見台積電爆發重大資安事故的影響力。在此之前,資安相關工作是由IT部門兼任,業主普遍的態度是主管機關若有明定保護措施,只要能合規即可,不大願意積極投入資源增進安全防護能力。
台灣產業經歷過幾起重大資安事故的震撼教育,才逐漸意識到,資安風險確實等同於企業營運風險,也才開始正視與評估資安的投資報酬率以確認投資效益,讓解決方案的導入或引進資安服務來協助更具說服力。甚至去年(2019)開始,腳步較快的產業,例如金融業,除了金管會嚴格要求必須成立專責單位,把資安工作從IT部門中抽離,成為獨立的部門,同時也進一步拉高層級,讓資安長(CISO)或資安治理委員會參與董事會;製造業、政府單位的監管強化,則是尋求外部廠商應用現代化人工智慧輔助維運,補足人力缺口。
現階段台灣重要產業已經開始從資安管理進步到資安治理,長遠來看,林雅惠引述IDC從去年就已開始探討的觀點,資安治理發展的下一步課題是「數位信任」,不再只是IT範疇的管理政策措施。就像如今Facebook等國際級社群平台陸續面臨到資料隱私權爭議,進入到數位化新世代,資料安全已經是最基本的要求,同時必須建立讓用戶感到信任的應用場景,現階段採用的資安託管服務,必須進一步擴大到專業資安服務,僅監看資安事件已經不夠,而是建構全面的數位信任計畫。
安全防護奠基礎邁向新世代數位信任
IDC在今年(2020)年初國際間發布的研究報告中指出,到了2025年,全球資安服務支出的25%,將用於開發、實施、維護數位信任框架。尤其是全球前二千大企業,會成為執行數位信任的領頭羊,其中涵蓋的範疇,除了網路安全,還包括用戶資料隱私、道德規範,以及用戶對於企業的信賴程度,如今這已成為全球不可逆的發展趨勢。
隨著本土更多產業提升資安的層級已奠定基礎,亦可評估朝向下個階段邁進。林雅惠說明,接下來探討資安議題可能不再僅著墨於IT框架,而是改以資料治理、隱私權的角度切入,才得以在數位化新世代中確保企業聲譽不至於帶給顧客負面的印象,進而影響營收。 早期DLP(資料外洩防護)方案著眼點是運用IT技術來建立資料存取控管措施,發展多年後,現代企業對於DLP的仰仗程度更勝以往,必須有能力保護內部智慧財產,防範任何手段進行竊取,主要也是因為過去本土製造業爆發多起營運核心機密外流,使得業主對於資料保護措施較以往更加重視。
如今新冠肺炎疫情蔓延,重創社會經濟與人身安全,也引發國際間政治紛擾,尤其是在網路世界,假新聞、惡意中傷的消息滿天飛,已經使得數位信任的議題開始浮上檯面。甚至僅是廣告追蹤投放過於精準,人們都會感到恐慌,這也是國際間GDPR(一般資料保護規範)等法規把Cookie納入控管標的的重要因素。林雅惠表示,此時企業更要向顧客提出可信任的證明,資安廠商則會想辦法運用技術手段,幫助企業從資安層次,升級到資料治理,隨著企業重新定位資安之後,數位信任將會成為勢所必然的發展方向。