安侯建業(KPMG)近日發表「2022 年台灣企業資安曝險調查報告」,結果顯示台灣企業平均防護分數僅為 C 級(70~80分),分數與去年相同,代表具備一般技術的駭客就能入侵多數台灣企業。此次調查 KPMG 匯集多位資安專家調查包含台灣的六大產業,包括金融、半導體、電腦及周邊製造、電子商務、供應鏈核心及新創;經抽樣 60 家台灣企業進行分析,結果平均防護分數僅為 C 級。
調查共有五大發現,首先是多數企業輕忽社群媒體所衍生的網路攻擊,其次,台灣各產業資安人員能量均嚴重不足,企業資安人力亮警訊。第三是供應鏈核心產業亟需加強網路防護;第四是金融業網路防護表現仍最佳,但面臨高度挑戰。最後則是導入並驗證資安國際標準,將顯著降低資安曝險。
KPMG 安侯數位智能風險顧問公司董事總經理謝昀澤表示,企業員工社群媒體的巨量使用,所曝露出的社交工程攻擊風險,是眼前最重要的問題,員工不經意的在個人社群上,所留下的商務電子郵件等相關資訊,都可能引發駭客攻擊的啟動點。
謝昀澤也提到,本調查意外地發現六大產業中平均分數最低之產業屬金融業。由於金融業大量透過社交媒體來發布其最新資訊,像是新興金融服務、最新理財商品、更新的金融相關政策與徵才資訊等等,而上述這些公告資訊皆需留下公務聯絡訊息。因此,金融業須特別謹慎運用社群媒體,並提供員工相對應的資訊安全教育訓練,以提升員工資安意識,改善社群媒體曝險情形。
另外,企業資安人力不足的問題則是台灣企業共同的隱憂。謝昀澤舉例,沒有能力與人力適當管理與維護的防火牆,與豪宅社區人人可以進入的公共開放空間無異。企業資安需要轉型,而轉型不只是需要「工具驅動」、也要「專業與人力驅動」。因此,既然對外招募不易,企業可考量透過適當的資安教育訓練培訓內部員工,藉以加強員工資安意識、第一線資安事件通報與危機處理人員的能力。
謝昀澤提醒,從過去許多資安調查報告觀察到,台灣企業 CEO 普遍對組織的資安有著高於全球平均的信心。為了避免企業「自我感覺良好」,台灣企業所面臨的資安風險,也有著相似的「盲斷層」現象,因此期待這份報告能協助台灣企業找尋「盲斷層」突破盲點。
