面對日益嚴峻的資安威脅,企業在建立專責資安團隊之外,也應該從落實資安防護基本功做起,即可減少 98% 資安威脅。而微軟在2022年4月啟動的 Microsoft CISO Salon,是協助企業強化整體資安防護力的重要交流平台。
COVID-19 疫情延燒超過兩年,引爆企業推動數位轉型風潮,而駭客也趁此機會擴大攻擊範疇。近兩年台灣高科技製造業紛紛傳出遭到勒索軟體入侵,也讓企業、政府單位更加重視資安防護,也凸現出建立一套完善資安制度的重要性。如在2021年年底金管會正式發布新版的「公開發行公司建立內部控制制度處理準則」,即明文要求資本額破100億、前50大市值的上市櫃公司,都需設置資安長,其餘上市櫃公司亦須依營運規模,配置對應資安人力。
為協助台灣企業因應資安挑戰、法遵要求,2022年4月21日 CIO Taiwan 於特別舉辦「建構企業資安制度」,遭請多位專家與會,分享全球資安趨勢、資安法,以及微軟的各種資安解決方案等議題。本場活動吸引爆滿資安人員與會,期盼藉此掌握建立完善資安制度的訣竅,因應來自四面八方資安威脅。
台灣微軟客戶成功事業群總經理李乾瑋指出,在消費市場需求快速轉變,加上美中貿易大戰引爆全球供應鏈重組,台灣製造業正加速推動智慧製造專案,但不少業者卻忽略資安重要性。試想一下,當產線遭到駭客入侵而停擺後,對製造業影響層面將難以預估。微軟向來非常關心企業面臨的資安問題,更將從2022年4月開始啟動 CISO Salon 計劃,助企業資安團隊藉此平台齊聚學習、交流與分享,內容涵蓋技術法規、市場趨勢,及人才培育,為台灣產業貢獻一己之力。
設立資安長 有助落實策略
隨著全球資安發展趨勢,從2001年台灣政府即啟動第一期國家資通安全發展計畫,而2021年啟動的第六期計畫願景,則是放在打造堅韌安全之智慧國家,期盼達成亞太資安研訓樞紐、建構主動防禦基礎網路、公私協力共創網安環境等目標。而金管會推動的「公開發行公司建立內部控制制度處理準則」,主要是依照企業營運規模大小,將公司分成三個等級,除要求第一級公司須設立資安長之外,2023年底前第二級公司亦須於配置資安主管及至少一名專責人員 ,至於規模較小的第三級公司,則鼓勵至少配置一名專責人員。
行政院資通安全處處長簡宏偉指出,面對無孔不入的資安威脅,我們是從資訊公開、公司治理、監理機關等三大面向,強化上市(櫃)公司資通安全防護網,並已納入資本市場藍圖規畫執行,期盼藉此助民間企業保護重要資料與商譽。由於分享資安情資是杜絕資安威脅的重要一環,因此我們也分階段鼓勵上市(櫃)公司,加入台灣電腦網路危機處理暨協調中心(TWCERT/CC),藉此強化台灣整體資安防護網。
資安不該被視為不是成本,而是企業營運重要的營運基石,唯有透過長期投資,資安而是必須持續精進的風險管理,才能讓企業維持產業中的競爭力。
改善資安人力 仰賴法規介入
在駭客攻擊手法多變下,根據 CIO Taiwan 最新年度的CIO大調查報告中指出,企業發生過最嚴重資安威脅,分別為 45.9% 病毒與垃圾郵件、30.3% 惡意程式、28% DDoS。此外,在報告中顯示2022年製造業在資安投資將明顯增加,有 21.2% 受訪企業表示將採購SOC資訊安全監控中心、19.9% 將強化勒贖能力、19.2% 將採購用戶行為分析。
「根據我們調查發現,即使是在大型企業也不見得有專門團隊負責資安。 但隨著金管會針對上市櫃公司提出設置資安長及資安團隊的要求,相信自2022年起缺乏專人負責資安狀況的問題,將會逐年獲得大幅改善。」CIO IT經理人雜誌總主筆施鑫澤解釋:「簡單來說,隨著資安法、 公開發行公司建立內部控制制度處理準則等上路,帶動企業積極部署資安防護策略的風潮,對於提升自身防護力、帶動產業發展等,都將帶來正面的效益。」
勤業眾信風險諮詢服務資深執行副總林彥良指出,主管機關要求民間企業提升資安防護力,目前已經是不可逆的國際趨勢,如美國 SEC 正擬議規定要求企業針對網路安全政策和治理實踐進行揭露。我們認為上市櫃公司資安治理發展策略,應該從資安組織與風險管理等面向建立三道防線 ,即透過釐清角色和職責等作法,強化對風險管理和控制的理解。所以從風險管理和控制有效程度而言,在董事會及高階管理層的監督和指導下,在組織內建立相互分離的群體防線,是絕對必需的工作。畢竟資安並非一個人或一個單位的工作,應該要把安全能量部署在每個地方,公司每個營運單位都需要有懂資安觀念的人。
助企業防範威脅 微軟擴大研發
隨著網路攻擊正變得越來越頻繁、日益複雜的監管環境,加上因對多個雲端 IT 環境的壓力, 安全議題愈來愈受到重視。長期關注企業資安問題的微軟認為,儘管每個產業面臨的資安威脅不盡相同,但基本資訊安全的關鍵原則,應該要從建立縱深防禦、資料外洩原則、分工合作,以及引進零信任架構等面向做起。在市面上眾多零信任架構解決方案中,微軟是從身份驗證、端點防護做起,至今已累積非常豐厚成果,其中端點防護解決方案更被 Forrester、IDC、Gartner 等研究機構評為資安領導者。
李乾瑋指出,身分驗證是資安防護的基礎,根據微軟 Cyber Signal (2021) 調查報告發現,只要做好包含身份驗證等在內的基本網路防護工作,即可阻擋 98% 的網路攻擊。我們在資安領域投資非常大,目前已延攬 8,500 多名資安專家,每天運用AI 驅動偵測和自動化作業分析超過 24 兆個資安訊號,確保企業能獲得微軟 AI 技術的資安保護。
台灣微軟顧問服務事業群副總經理陳英茂說,微軟運用多年來阻擋駭客入侵的技術與經驗,運用強大情資網的訊號,推出各種資安解決方案,從行為分析,到未來可以做到預防性的分析,能因應不同的攻擊迅速演進,已經在高科技製造業等領域中獲得戶肯定與青睞。因應資訊安全發展的方向,未來 5 年我們將投資 200 億美元在研發上,全力助企業保護重要數位資產與商譽。
值得一提,2022年4月啟動的 Microsoft CISO Salon,是分享涵蓋技術、法規、市場趨勢相關新知的平台,也會協助企業培育所需的資安人才,是台灣產業推動數位轉型過程中的重要後盾。