駭客猖獗 資誠:建立4Ps 提升資安戰鬥力
(中央社訊息服務20211220 10:19:37)近期全球爆發多起資安事件,例如某通訊軟體與國內餐飲品牌客戶個資外洩;虛擬貨幣交易平台遭駭客攻擊損失約1.5億美金資產;知名家電大廠遭駭客存取機敏資料等。在數位時代,資訊安全與資料治理成為企業必須面對的重點。無論是元宇宙概念熱議、萬物聯網智慧+、企業數位轉型、智慧城市發展、或是資料雲端化,企業及政府機關應時時刻刻注意自己是否暴露在資安風險中。大至內部系統、生產線,小至智慧燈泡都有可能成為駭客目標,鑽尋漏洞,進而取得機構內機敏資料。
資誠訪問全球 10 億美元以上企業的 700 名 CEO 和 2,900 名其他C-Suite主管的意見,發現大多數企業沒有意識到第三方資訊洩露帶來的威脅與日俱增,60%的受訪者對第三方資訊洩露風險的了解程度不夠透徹,而20%的受訪者對這些風險知之甚少或根本不了解。值得注意的是,56%的受訪者預期,透過其軟體供應商的違規行為會增加,但只有34%的受訪者正式評估其企業正面臨這種風險,同時,58%的受訪者預期其雲端服務受到的攻擊將大幅增加,但只有37%的受訪者透過正式評估來了解雲端風險。
甚至,企業為求快或拒絕改變,經常忽略幾個資安漏洞,例如:運用過多不相容的數位解決方案、不依據第三方風險管理整合不同屬性的工作、不設計或不堅持資料治理流程、不運用商業語言談論資訊安全等。
資誠聯合會計師事務所暨聯盟事業副執行長劉鏡清表示,受訪的全球企業中,資安布局進步最快的前10%企業皆落實建立 4Ps (Principle, People, Prioritisation, Perception) ,建議企業或政府從 4Ps 出發,審視並簡化非必要流程,加強內部資訊安全措施,保護機敏資料,提升資安戰鬥力。
Principle:制定清楚原則
企業或政府必須清楚制定其在資訊安全、隱私保護上的基礎原則。缺乏資訊安全風險地圖的規劃是企業或組織最常犯的第一個錯誤,資訊安全與資料治理未能整合為第二個錯誤,資訊安全由資訊部門負責是第三個錯誤。在數位時代資訊與資料安全不只是企業內部的事情,更是贏得客戶與市場信任的重要基礎,所以企業或組織應制定原則、風險地圖、避免三大錯誤。企業或組織應任命並信任首席資訊安全長 (CISO, Chief Information Security Officer),提升資安層級與資安涵蓋範圍,因為資訊與資料安全是遍及所有部門,從門店、辦公室到工廠都遍布了潛在資訊及資料安全的風險,例如 :採購與資安。
People:雇用合適的CISO與團隊
金管會於今年11月再修法,要求千家上市櫃公司必須配置資訊安全長 (CISO)、資安專責單位或資安專責人員,完成期限視等級分為2022年底或2023年底。企業須注意,資安團隊除了時時更新資安知識與解決方案之外,與組織內部溝通宣導之流暢度更是重點,如此才能真正理解組織資安需求或弱點。此外,重資安忽略資料治理的資料安全規劃,是企業常犯的第四種錯誤,企業應特別注意。
資安團隊無論是委外或自行維運,CISO與資安團隊需瞭解組織所需,簡化不必要流程,建立資訊安全結構。例如企業或政府機關在面對雲端服務資料轉移等作業,也建議安排CISO和資安團隊加入共同規劃,在專案初期即簡化非必要流程,提升整體資料安全,同時協助其他團隊熟悉企業資安規劃,落實資安原則。
Prioritisation:優先管理資安風險
企業或政府對數位的運用野心越來越大,擁有的資訊資產越多,風險也會隨之改變,企業必須視資安與資料治理為重點優先任務。近期實例如知名家電大廠於11月發現網路流量異常,隨後對外宣布機敏資料遭駭客存取;實際上攻擊者於6月便開始存取家電大廠內部資料,於5個月間多次攻擊活動,若該廠提早建立資料治理制度並善用智慧科技衡量做好管理風險,亦能在網路流量稍有異常時即能處置,降低傷害。建議CISO必須建立好的數位信任基礎,包含整體組織的資料治理;同時,也需建立一個風險地圖找出優先重點,從計算資安風險數量到實時風險回報進行規劃;最後將資安風險結合企業風險,統整兩者對企業的影響,找出商業模式當中需保留和可簡化的部分。
Perception:找出盲點
企業或政府必須找出內外部關係與供應鏈中的盲點,將整體系統、供應鏈和關鍵商業關係列出,找出簡化商業關係和供應鏈的對策。例如近期某通訊軟體資料外洩事件中,該事件起因於合作廠商誤將使用者機敏檔案上傳至開放平台,導致個資在平台供所有平台用戶下載,目前雖無相關通報事件,惟有心人士下載個資檔案,可能嚴重傷害使用者,導致使用者對該軟體的信任度下滑,甚至棄用;若該企業提早檢視商業關係和供應鏈中的對策,或能避免合作廠商外洩資料事件發生。建議組織可以創立「第三方資安風險辦公室」,全責控管第三方資安風險,強化企業數位信任流程,控管第三方資料的運用,降低外部廠商人員誤傳資料的機率。政府機關也可成立「智慧城市公民信任中心」,與外部民眾溝通並接收反饋,建立與市民之間的數位信任。
簡化營運流程 實現安全數位企業
4Ps 看似簡單,但在受訪的企業中,只有10%成功實踐;目前企業難免因數位連結的增加,構成日益複雜的網絡,但有充分的證據表明簡化流程是必須且值得的,在本調查中「進步最快」(在資安排名前10%)的企業,在整個企業進行流程簡化的可能性是其他企業的五倍。且在過去兩年,這 10% 的企業在重大資安目標 ,例如:培養網路安全文化、管理網路風險、加強董事會和管理層之間的溝通、以及協調網路與業務策略,其取得進程的可能性是其他組織的兩倍。
CEO 參與可以產生影響
企業高階主管和CEO受訪者對於CEO在資安方面提供的支持程度存在認知上的差異,CEO認為自己在資安的參與、支持和完成目標程度比其團隊的認知高,不過,企業高階主管和 CEO受訪者都同意,CEO積極參與制定和實現資安目標,的確會產生正面的影響。
排名前 10% 的組織中的高階主管在網路安全方面獲得 CEO大力支持的可能性比其他組織高出12倍,大多數高階主管認為,應對CEO和董事會進行教育,使他們能夠更履行資安職責。資誠建議管理層可以透過 4Ps 幫助組織,培養資安與資料治理的新習慣,創造數位安全信任的企業或組織。