全球生成式人工智慧(Generative AI,GAI)技術正在快速地進化,推動各行各業加快數位轉型步伐,以提升營運效率、產品品質,甚至拓展新商業模式與市場機會。然而,隨著攻擊手法日益複雜、供應鏈風險持續擴大,企業除了必須強化內部資安防禦機制,更需全面掌握自身資安成熟度在產業中的水準,畢竟「不必跑得比熊快,只要跑得比別人快」,方能擬定精準策略、有效配置資源,落實全方位風險管理。
為協助企業掌握自身資安實力與風險指標,數位發展部數位產業署委託工業技術研究院,透過與全台多個產業公協會組成「產業資安工作小組(SIG)」,推動涵蓋IT與OT領域的資安評級制度,並發表《台灣企業資安成熟度與風險現況》調查報告。該報告系統性揭示台灣企業資安評級現況與外部曝險樣態,進一步提出具體且可行的改善建議,協助企業強化風險應對能力。
調查結果顯示,金融、半導體與科技業的資安評級表現最為亮眼,這些產業具備高度的防護能力與回應機制,多數符合ISO 27001、PCI DSS等資安標準。相對而言,餐飲業、食品加工業在識別與偵測能力方面則表現明顯落後,資安預算與人力資源的缺口成為主要挑戰。在網站應用安全方面,多數產業普遍存在弱點,常見問題包括缺乏內容安全政策(CSP)設定、未設置子資源完整性(SRI)標籤,以及未實作跨站請求偽造(CSRF)防護機制,這些缺陷容易讓網站暴露於跨站腳本攻擊(XSS)、資料竄改或釣魚攻擊等風險中。
外部曝險分析也揭示了台灣企業資安防線的另一面。在DNS健康度與IP地址信譽方面,多數產業表現穩定,顯示企業已建立基本的網路安全防護。但是在網路通訊埠與網站應用程式的安全管理上則相對薄弱。例如食品、橡膠等產業的曝險指數偏高,顯示其老舊系統問題與資安治理仍有待加強。根據《台灣企業資安成熟度與風險現況》統計,企業若已導入ISO 27001,其網站應用安全得分明顯高於未導入,顯示導入資安標準對實際防護效果具有明確加分作用。
參與資安評級的企業,更是逐漸浮現效益。77.6%企業表示參與評級後,對資安重視度大幅提升;74.8%企業發現同仁的資安意識與能力明顯增強。進一步分析也發現,評級不僅幫助企業發掘自身資安缺口(66.1%),更可優化資安管理流程(45.7%),促進資安文化的深耕與制度化。
此外,企業參與評級後,對資安的投資方向也有所改變。超過半數企業選擇優先投入資安訓練(57.9%),顯示企業已認知到「人」才是最關鍵的防線。此外,企業亦積極升級既有資安系統(52.4%)與導入新一代防護技術(48%),如零信任架構、擴展式偵測及回應(XDR)等工具。
面對日益猖獗的供應鏈攻擊與複合型威脅,建立「產業聯防」機制成為重要戰略。SIG推動的外部攻擊面管理(EASM)機制,強化企業對公開網域、IP位址、網站應用與通訊埠的持續監控,已成為推動「從被動防禦到主動偵測」的實務利器。此外,國產EASM產品的興起與SECPAAS產業資安整合服務平台的推動,更標誌著台灣資安產業朝向自主研發的嶄新階段。產業將可藉由資安評級機制引導,持續地改善資安文化,並打造更具韌性的產業聯防體系,為台灣數位經濟打造堅實防線。