粉絲團
KPMG今發表「2022年台灣企業資安曝險調查報告」,台企平均防護分數僅C級(70~80分),代表具備一般技術的駭客就能入侵多數台企。(KPMG提供)
〔記者鄭琪芳/台北報導〕KPMG今發表「2022年台灣企業資安曝險調查報告」,台灣企業平均防護分數僅為C級(70~80分),與去年相同,代表具備一般技術的駭客就能入侵多數台企。KPMG安侯數位智能風險顧問公司董事總經理謝昀澤提醒,從過去許多資安調查報告觀察到,台企CEO普遍對組織的資安有著高於全球平均的信心,為避免企業「自我感覺良好」,在面臨突如其來的資安風險時也有著相似的「盲斷層」現象,期待能協助企業找尋「盲斷層」突破盲點。
KPMG匯集多位資安專家調查包含台灣的6大產業,包括金融、半導體、電腦及周邊製造、電子商務、供應鏈核心及新創,經抽樣60家企業分析,平均防護分數僅C級,表示多數企業僅具備一般技術的駭客就能入侵。謝昀澤表示,2022年資安整體調查結果,呈現「1好5壞」現象,除金融業表現尚佳,其餘產業皆與金融業有明顯差距,尤其地緣政治風險導致供應鏈斷鏈可能性加劇的現在,涵蓋能源、原物料與運輸的供應鏈核心產業表現敬陪末座,是各產業都需要關注的現象。
調查發現,多數企業輕忽社群媒體所衍生的網路攻擊;各產業資安人員能量均嚴重不足,企業資安人力亮警訊;供應鏈核心產業亟需加強網路防護;金融業網路防護表現仍最佳,但面臨高度挑戰;導入並驗證資安國際標準,將顯著降低資安曝險。
謝昀澤指出,企業員工社群媒體的巨量使用,曝露出的社交工程攻擊風險是眼前最重要的問題,員工不經意的在個人社群上留下的商務電子郵件等相關資訊,都可能引發駭客攻擊的啟動點。他也提到,調查意外發現,六大產業中平均分數最低的產業屬金融業,平均僅14.14 分;由於金融業大量透過社交媒體來發布其最新資訊,像是新興金融服務、最新理財商品、更新的金融相關政策與徵才資訊等,這些公告資訊皆需留下公務聯絡訊息,因此金融業須特別謹慎運用社群媒體,並提供員工相對應的資訊安全教育訓練,以提升員工資安意識,改善社群媒體曝險情形。
此外,資安人力不足的問題則是台企共同隱憂,謝昀澤舉例,沒有能力與人力適當管理與維護的防火牆,與豪宅社區人人可以進入的公共開放空間無異。企業資安需要轉型,而轉型不只是需要「工具驅動」、也要「專業與人力驅動」。因此,既然對外招募不易,企業可考量透過適當的資安教育訓練培訓內部員工,藉以加強員工資安意識、第一線資安事件通報與危機處理人員的能力。
他分析,金融業及電子商務表現較佳,近年金融業主管機關針對資安長的設立標準,除銀行業外,達到一定條件與規模的保險公司、證券商、期貨商與投顧業,以及大型或從事電子商務的上市櫃公司,均須設立資安長及配置適當數量的資訊安全員及設備,並明定將資安管理、事件影響與因應納入公司年度報告。因此,他呼籲企業皆應考量自身規模與資源,設立資安長專屬資安團隊,藉此正視企業整體的資安威脅與數位風險,讓產業生態圈資安防護更加完善。
調查也發現,原物料、運輸等供應鏈核心產業,資安實力參差不齊、落差極大,且超過60% 的受調企業分數位居C級以下。謝昀澤表示,供應鏈核心產業中的企業通常歷史較為悠久,在傳統觀念的長期洗禮下,也較難接受流程大規模改動與快速深植資安意識。他建議,可採取補償性控制措施,針對資訊資產的不足或缺陷,額外補充安全控制措施或強化安全控制措施,另組織也應透過適當縱深防禦架構,保護重要資訊資產,像是透過建立定期清查帳戶權限、軟體清查與更新的流程做好內部存取控制,藉此顯著提升資安防護。
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法
