資安 ESG 物聯網 雲端 網路攻擊

產業環境日益複雜難防駭侵 宜化被動消極防護為主動資訊揭露

從營運韌性到ESG治理 資安已成企業關鍵策略

2022-09-21
資安在產業環境日益複雜下重要性與日俱增,從過去的消極防護,避免企業受到網路攻擊,到當前主動資訊揭露、培養高階管理階層資安意識,以及資安人才相關培養,顯示的不只是企業在營運環境中化被動為主動的意識,也是強化名譽與形象的方法之一。

資安在產業環境日益複雜下重要性與日俱增,從過去的消極防護,避免企業受到網路攻擊,到當前主動資訊揭露、培養高階管理階層資安意識,以及資安人才相關培養,顯示的不只是企業在營運環境中化被動為主動的意識,也是強化名譽與形象的方法之一。

資安事件層出不窮  帶動相關投資大幅成長

政府與企業在推動大量數位轉型時替駭客帶來絕佳入侵機會,當前資安事件層出不窮,如近來微軟臉書遭駭、英軍的YouTube/Twitter被入侵、中國10億個資外洩等,攻擊範圍越來越大,手段也日趨複雜。

一份調研指出,2020年開始起網路攻擊數量持續上升,2021年末創下歷史新高,全球每間機構每週平均遭受925次網路攻擊,教育與研究機構成為網路攻擊重災區,研究機構遭竊取的風險大幅提升,學校機構每週平均遭受1,605次攻擊,較2020年增長75%;而企業使用大量物聯網、雲端等科技,也成為駭客重大攻擊目標。

2022年絕非網攻元年,但肯定是企業大舉投入資安技術投資的一年,根據資安機構pullsbury調查,截至2026年,資安軟體投資之年複合成長率高達26%,約460億美元。

相關技術琳瑯滿目  企業預算投入隨著成長

不過,若換個角度來看,也許每個企業都應該嘗試了解未來受網路攻擊面的成長速度將比過去來得多,導入大量的企業軟體與API可能讓駭客一次能竊取多部門的資料。因此,企業在資安投資項目上也日趨多元化,例如端點安全、資安稽核/認證、滲透測試、應用程式安全、行動程式安全等,除了相關技術外,人員是否具備資安意識也相當關鍵,教育訓練、強化內部權限與存取控管、源碼檢測可是一樣都不能漏。

同時,當前企業因供應鏈分散各國,是否能在受攻擊時具備異地備援能力也成為衡量一家公司是否具備「資安韌性」的重要指標,所謂的異地備援,指的是「組織在其他地點備份重要的資料、伺服器以及工作機能等,避免因火災、水災、遭竊等災難造成重要資料損失與工作、服務中斷」等挑戰。

資安險需求大幅提升接連帶動保險公司出險風險

從全球資安險投保狀況也可略知一二,一項調查指出,全球資安險支出預計將從2022年的124.7億美元增長到2030年的371.4億美元,年複合成長率達21.8%;顧問公司麥肯錫公司也預測,2022年至2025年資安險的年複合成長率為21%。

全球資安市場成長幅度大幅提高。  (資料來源:CISION)

數位優先的商業模式和營運流程數位化的需求提高,加上勒索軟體攻擊的指數級增長,促使企業在資安險上投入更多資金。另一方面,保險公司逐漸反對支付贖金(出險),理由是網路攻擊者故意針對他們最大的客戶進行攻擊,使保險公司也損失慘重,全球許多龍頭保險公司正在思考對策,但目前較無斬獲。

事實上,這對保險業者而言也不見得是壞事,由於眾多保險業者長期習慣於穩定金流,而資安顯得風險時時刻刻皆在變化,保險業者也因此有更大動機調整自身產品組合。

管理階層對資安認知的建立相當重要

除了相關投資外,企業管理階層是否具備相關領域知識,長期而言對於企業建立資安韌性也有所幫助,哈佛商業評論(Harvard Business Review,HBR)指出,除中高階主管外,董事會也需要明白資安議題的重要性。美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)所提出的「NIST網路安全架構」,除控制器安裝、技術防護措施等執行面的細節外,其辨識、保護、偵測、回應與恢復等五大架構,對董事會而言即是瞭解網路韌性的方法。所以,資安並非僅是部門問題,還是組織營運的議題。部分國際業者甚至將資安列為組織文化的一環,無論是由上而下傳遞,或是從部門員工往上反應,建立資安意識往往是關鍵的第一步。

而資安人才的培育與招募也是當前企業在資安策略布局的重點,由於資安人才相當稀少,許多大型業者紛紛自行培育,在實際職能規劃上,除程式開發及偵測、作業系統操作,以及管理等共通職能外,也應導入專業職能,如資安鑑識與處理、資安事件分析處理、入侵偵測與滲透測試、惡意程式檢測及分析、威脅情資搜集等,而專業職能中,也應加入策略性質的駭客攻防、企業資安策略規劃、企業暨國防安全相關應用等。由於資安議題複雜度相當高,要應對相關危機,一來既需要執行面的人才,也具備將資安提升至國安高度的策略人才,這樣的分類較為務實,而不同的產、學、研機構也能按照自身需求進行職能客製化,培養公司整體的資安人才。

從ESG面向看投入資安的重要性

若從公司治理層面來看,企業應主動揭露其資安策略,以作為積極公司治理作為的一部分,根據研究機構調查,美國、歐洲、亞洲的企業有67%將資安議題列為ESG必要揭露項目。其原因在於,當前的公司治理已經從「管理層的管理」延伸到「資料的管理」,顧客、供應商、投資人、政府、協作夥伴等各方利害關係人開始檢視一家企業的資安韌性,積極的業者會建立從業務部門到企業供應鏈各營運環節的評比機制,部分國際企業甚至預測未來資安自評與揭露將成為各國政府在公司治理上的新規定。

若從社會層面來看,資安看似與其並無直接關聯,但可用社會資本的角度來檢視,若一家公司的高敏感性資料,如客戶個資洩漏,則可能瞬間摧毀長期累積的社會資本,未來在重建其聲譽與利害關係人合作時將投入更多時間資源,形成無形的社會負債。

從環境面來分析,企業未來在淨零碳排的環境作為上可能涉及到更多環境資料的應用,例如開發再生能源、發展循環經濟,甚至打造全新環保的商業模式時,勢必將揭露更多相關資訊,而企業在資訊揭露範疇擴大時,是否還能維持相同資安品質也至為關鍵。

<本文作者:Howie Su現為產業分析師>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!