我‧見‧我‧思－

在數位轉型的過程中，企業通常尋求增加效率、創造更多價值，資訊安全更不容忽視。圖／本報資料照片

臺灣作爲全球供應鏈的重要樞紐，並有特殊政經地位，面臨網路攻擊的次數已高居亞太之首。近年經濟不景氣的情況下，駭客針對企業進行鍼對性攻擊與勒索行爲的案例更是逐漸增加。駭客組織甚至會根據不同專業分工，進行弱點研究、攻擊、勒索、後勤和洗錢等活動，以最大化其利益。

■臺灣企業遭網攻次數居亞太之冠

近期的一個趨勢是勒索病毒成爲一種即服務（RaaS），攻擊者租用這些軟體時，供應商會提供更新和保護，以確保病毒在短時間內能夠繞過防毒軟體的監控，許多臺灣企業便是受到這樣的勒索病毒攻擊。而駭客爲了增加獲益，較常針對上市櫃公司進行攻擊，攻擊的目標甚至會擴展到整個供應鏈，包括企業的供應商，勒索的金額從數百萬到千萬美元時有所聞。

個資法修正案近期通過立法院三讀，未來業者若未善盡安全維護義務以致個資外泄，情節重大者的罰鍰恐達最高15,00萬元。然企業若以發生個資外泄或勒索病毒事件的機率來思考資安投資，如以發生機率5％ 計算，1,500萬元X5％，損失期望值爲75萬元，除了預算較豐厚的上市公司外，很多企業可能還是寧可賭這機率，而非花100萬左右的資安預算來做防禦。換個角度看，或許勒索病毒愈趨強勢才能催化企業重視資安投資。

傳統的駭客攻擊事件應變方式通常包括確認問題範圍、止血、備份與還原等步驟，有時企業甚至會考慮支付贖金以避免問題擴大。然而，近年區塊鏈技術的興起也帶來了新的挑戰，駭客可以透過加密貨幣的特性迅速實現經濟利益、並且難以被追蹤，我們發現區塊鏈上的項目幾乎每天都有攻擊事件，且影響範圍更廣更大更快速，從數十萬到億美金的利益讓駭客趨之若鶩。

■數位轉型，資安成必要投資

資安防禦是一個沒有終點的旅程，但以下應對策略若是都有做到，可讓企業避免大部分攻擊：1、資安顧問支援：資深的資安顧問可以提供專業策略建議，協助企業在有限的資源中建立最大化的縱深防禦─多層次的防禦措施，包括零信任（Zero Trust）安全、防火牆和敏感資料備份等。

2、員工資安培訓：員工是企業的第一道防線，提供資安意識培訓可以幫助他們辨識和應對潛在的風險。

3、職場演練和外部情資監控：透過模擬攻擊和持續監控外部情資，企業可以在威脅真正產生前抑制其影響。

在數位轉型的過程中，企業通常尋求增加效率、創造更多價值，然而資訊安全卻不容忽視。我們自己在替客戶做產品時，會直接在產品創建過程中便內建資安（Build Security In）作爲，確保客戶在數位轉型過程中能夠處理資安威脅。資安並非一個靜態的目標，而是一個持續的過程，轉型中須時刻往前並透過資安與品質把握，透過DevSecOps方法論確保其不脫離我們掌握的範圍。