調查共有五大發現,首先是多數企業輕忽社群媒體所衍生的網路攻擊,其次,台灣各產業資安人員能量均嚴重不足,企業資安人力亮警訊。第三是供應鏈核心產業亟需加強網路防護;第四是金融業網路防護表現仍最佳,但面臨高度挑戰。最後則是導入並驗證資安國際標準,將顯著降低資安曝險。
KPMG 安侯數位智能風險顧問公司董事總經理謝昀澤表示,企業員工社群媒體的巨量使用,所曝露出的社交工程攻擊風險,是眼前最重要的問題,員工不經意的在個人社群上,所留下的商務電子郵件等相關資訊,都可能引發駭客攻擊的啟動點。
謝昀澤也提到,本調查意外地發現六大產業中平均分數最低之產業屬金融業。由於金融業大量透過社交媒體來發布其最新資訊,像是新興金融服務、最新理財商品、更新的金融相關政策與徵才資訊等等,而上述這些公告資訊皆需留下公務聯絡訊息。因此,金融業須特別謹慎運用社群媒體,並提供員工相對應的資訊安全教育訓練,以提升員工資安意識,改善社群媒體曝險情形。
另外,企業資安人力不足的問題則是台灣企業共同的隱憂。謝昀澤舉例,沒有能力與人力適當管理與維護的防火牆,與豪宅社區人人可以進入的公共開放空間無異。企業資安需要轉型,而轉型不只是需要「工具驅動」、也要「專業與人力驅動」。因此,既然對外招募不易,企業可考量透過適當的資安教育訓練培訓內部員工,藉以加強員工資安意識、第一線資安事件通報與危機處理人員的能力。
謝昀澤提醒,從過去許多資安調查報告觀察到,台灣企業 CEO 普遍對組織的資安有著高於全球平均的信心。為了避免企業「自我感覺良好」,台灣企業所面臨的資安風險,也有著相似的「盲斷層」現象,因此期待這份報告能協助台灣企業找尋「盲斷層」突破盲點。