根據Fortinet近期公布的《2023年資安技能落差報告》,近七成(68%)的企業表示,由於缺乏足夠的資安技能或意識,使得IT部門的關鍵職位出現空缺,導致更多的資安風險及安全威脅發生。
資安人才匱乏已成全球企業均需正視的課題,根據非營利組織國際資訊系統安全核準聯盟(ISC)²發布的《2022年網路安全勞動力研究報告》指出,去年全球資安人才缺口便高達340萬人,其中亞太區資安人才短缺達216多萬人,相較2021年成長超過50%,情形最為嚴峻。
今年Fortinet也針對全球及台灣超過1,800位IT及資安決策者進行調查,在《2023年資安技能落差報告》中也提到,資安技能落差導致多數企業必須面對更加嚴峻的資安風險和安全威脅,與2021年相比,2022年遭到入侵5次以上的企業組織數量攀升超過五成(53%)。
Fortinet北亞區技術總監劉乙指出,調查結果顯示,84%的組織在過去一年內曾經遭到駭客入侵至少一次,其中有48%的企業因資安漏洞而蒙受超過100萬美元(約3,000萬台幣)的經濟損失;近七成(68%)的企業表示,由於缺乏足夠的資安技能或意識,使得IT部門的關鍵職位出現空缺,導致更多的資安風險及安全威脅發生。
此外,由於資安風險越來越高,不少企業的董事會已經把資安列為企業經營的風險管理的重要指標,受訪的資訊、資安決策主管中有83%表示,董事會建議增加IT/安全部門的人數。然而企業在招募與留才方面也並不容易,56%的企業指出他們在招募網路安全人才時遭遇到困難,同時也有54%的企業指出,難以留住資安人才。而最難以填補的缺口,有44%的受訪者認為雲端安全和安全營運人才最難尋,37%的企業則認為網路安全最難填補,另外有32%的受訪者則認為是軟體開發。
五大最缺資安技能 雲端安全居首
他提到,一年內至少經歷一次安全漏洞的企業,去年調查時只有80%,今年比例往上攀升到84%。而經歷五次以上安全漏洞的企業,去年僅有19%,而今年則提高到29%,顯示出,即便企業在這幾年已經花了很多功夫在資安上,但資安的風險還是越來越高,光是網路釣魚攻擊、密碼攻擊以及惡意軟體攻擊的網路攻擊就佔了八成之多。另外,企業留才的難度也持續增加,去年僅有52%受訪者表示留不住資安人才,今年上升到54%。 此外,有68%的受訪者認為,資安能力短缺會為組織帶來額外的風險,而企業最需要的資安技能,前五名包含雲端安全(Cloud Security)、網路威脅情報(Cyberthreat Intelligence)、惡意程式分析(Malware Analysis)、資安系統操作(Secure System Operations)以及網路安全基礎架構(Cybersecurity Foundations)。
劉乙指出,為員工支付資安證照已成為一項誘因,尤其有73%的受訪者認為在市場上很難找到有認證的人才,因此不少企業將目標轉向內部IT人員或者是懂得業務的人送去受訓取得相關認證。在這項調查報告中,有90%的企業願意支付員工獲得資安證照的費用;此外,他也說明,雲端安全位居企業最需要的資安技能首位,主要是因為企業數位轉型後,許多的應用與服務往雲端移動,使得相關人才的需求也隨之增加。
多面向網路安全培訓
從勒索軟體頻繁變種到OT攻擊事件不斷攀升,資安已成為企業亟需面對的一大課題,也突顯出資安人才的重要性。Fortinet台灣區總經理吳章銘指出,過去一年中,人為導致的資安事件高達85%,調查中也提到46%的受訪者認為缺乏熟練的技術人員是阻礙組織充分防禦網路威脅的原因,另外則有43%的受訪者認為是員工資安意識不足。
他觀察,有兩個因素影響資安人力,一是源自於法規的要求,例如金管會要求一定條件下的上市櫃公司應於2022年底前指派資訊安全長並設置資訊安全單位(包含資訊安全專責主管及至少2名資訊安全專責人員),而其餘的上市櫃公司應於2023年底前配置資訊安全專責主管及至少1名資訊安全專責人員。這項政策公布後,企業更加緊招募資安人才,以便在期限內符合法令要求完成資安人力設置。其二是產學落差,許多資工、資管等相關科系在學校所學的基本職能與技能,與產業所需仍有不小的落差。
對此,Fortinet也不斷深化資安人才耕耘,除了持續投資台灣硬體資安供應鏈的發展外,亦在台灣成立亞太區規模最大的威脅情資中心,提供新世代資安人才培育及就業機會,更與產業界專家團隊聯手,共同打造具備擬真攻防情境的資安演練系統,讓企業得以實現不同面向的技術實作,深度強化內部應變能量。
此外,也針對中小學、大專院校、社會人士等不同階段,打造多面向的網路安全培訓計畫。例如針對中小學學生,Fortinet開設公益課程,以漫畫方式強化學童對網路交友、陌生網路訊息的重視,進而提升對網路安全的認識。同時也與眾多大專院校及教育機構合作,例如中國文化大學、世新大學、遠東科技大學等,提供免費的專業教材和世界級講師培訓,並將網路安全專家(NSE)培訓及認證整合至大學課程,讓學生得以提早掌握最新資安趨勢及防禦概念,與業界無縫接軌。
「NSE培訓及認證課程可分為線上與線下,Level 1到Level 3算是初階課程,主要是採線上上課,而Level 4到Level 8則會面對面的授課,完整的課程內容能夠滿足對證照以及資安基礎訓練的要求。」他提到,針對產學落差,Fortinet也與經銷商合作,針對大三與大四的學生,在假日提供資安培訓計畫,甚至在結業後可以考取NSE的Level 1到Level 3的認證,考取後也能從經銷商中獲得很多實習的機會,共創多贏。同時也與台科大合作,在校內的工業4.0實作中心打造符合IEC 62443資安要求的示範場域,而且取得了IEC 62443-2-4認證。
吳章銘指出,目前Fortinet授權培訓中心(ATC)已發出超過500個NSE的證照。不過他也提到,雖然企業希望招募具有資安證照的人才是件好事,但取得證照只是一個起點,而非終點,透過培訓得到一個完整的基礎以及實作概念後,後續還有很多的應用跟事物需要去拓展。
除了NSE官方教育訓練課程以外,有鑑於有些人可能沒有辦法到教育訓練中心上課,因此也提供了線上的數位平台,只需要利用碎片化的時間,不管是在捷運上、公車上或是計程車上,抑或是等人的時候,都可以透過數位平台學習資安相關的知識。