第13屆CIO價值學院第三堂課－資訊安全 會後報導

許​多研究機構、資安公司，每年都會定時公布資安報告，藉此提供給企業作為資安防護機制的參考，然多數資安長都不了解背後的含義。以2020年九大網路安全統計排名，便包含「94%惡意軟體透過電子郵件傳送」、「在被報導的資安事件中，超過80%的成因來自釣魚攻擊」、「釣魚攻擊每分鐘造成17,700美元的損失」、「60%的外洩事件所利用的漏洞已經有修補程式，但卻沒有套用所致」、「63%的企業認為他們的資料在近12個月內可能因為硬體或晶片的漏洞遭到感染」、「針對物聯網設備的攻擊在2019上半年增加了兩倍」、「無檔案攻擊在2019上半年成長256%」、「資料外洩平均耗費企業392萬美元」、「有40%的IT主管認為網路安全的工作最難補足人力」。

戴夫寇爾股份有限公司執行長翁浩正指出，仔細研讀前述9大與數字相關的資安訊息，前四項屬於攻擊手法、中間四項屬於漏洞管理，最後兩項則聚焦在損失與人。多數企業看到前述資訊之後，心中浮起的第一件事，恐怕都是「是否要購買新的資訊設備」，不過這種想法是錯誤的。

舉例而言，94%惡意軟體透過電子郵件傳送的訊息背後，代表電子郵件只是駭客入侵企業的媒介之一，最後目的在於竊取商業機密或消費者個資，若能建立妥善資料保護機制，就不需要擔心此數據持續攀升。因此，翁浩正建議企業應該要從全局視野觀看數據背後的意義，才能掌握背後的意義與關聯。

（文／林裕洋）