企業風險與日俱增 資安升級迫在眉睫

近年來不論是大型傳統產業或是高科技業者,時有消息傳出企業遭到勒索軟體攻擊,並導致產線、系統停擺帶來鉅額損失。隨著勒索病毒日漸猖獗,國內對於資安重視程度也日漸提升。投入資安產業多年,Team-T5 杜浦數位安全有限公司創辦人兼執行長蔡松廷指出,目前駭客依攻擊型態主要分「網路犯罪(cybercrime)」、「網路間諜(cyber espionage)」二大類。

 

Team-T5 杜浦數位安全有限公司創辦人兼執行長 蔡松廷先生。(圖/吳佳穎攝影)

 

 

比特幣助長勒索軟體興起

 

勒索病毒屬於「cybercrime」,目標很簡單就是要賺錢,多採無差別攻擊。但這幾年由於攻擊個人電腦,一般民眾付贖金能力約莫在1~2千美元之間,遠低於企業贖金 1 ~ 3 千萬美元,且企業在營運中斷的壓力下,繳付贖金意願較高,因此「攻擊者越來越針對企業進行攻擊,甚至會特別鎖定企業防毒系統的漏洞或弱點攻擊,因此特別難防。」

 

蔡松廷分析,雖然早在 2007 年就有勒索病毒出現,但當時由於金流容易追查,因此相關犯罪型態並未盛行,但這幾年在加密貨幣盛行下,駭客多要求交付比特幣等加密貨幣以規避調查,因此日漸猖獗。

 

 

網路間諜竊取資料  資安問題升級國安危機

 

另一種攻擊型態是「網路間諜」,駭客入侵後,潛藏在企業內部網路蒐集資料並伺機將資料回傳,其中去 (2020) 年底美國軟體商 SolarWinds 發生的供應鏈攻擊牽連甚廣,堪稱為核彈級影響。 SolarWinds 遭駭客於軟體開發過程中植入惡意程式,並隨著釋出的軟體更新部署至客戶系統,造成包含美國商務部、國務院、國土安全部等多個政府部門及資安、科技大廠遇害。經數位鑑識調查,這可能是俄羅斯國家級駭客所為,資安問題升級為國安危機。

 

台灣也面臨類似問題,蔡松廷觀察,目前國內遭駭客攻擊對象很大一部分是政府單位,攻擊方式分 2 大類:第一類是偷資料,從政策、民眾個資、內部溝通文件到未公開資料等,其中國防、高科技產業也是蒐集目標,同時智庫由於時常參與政策制定,因此也是駭客攻擊目標之一;其次則是潛伏期間等待破壞時機,如想針對特定事件造成壓力,可能會抓準時機癱瘓系統。

 

 

思維轉變  資安利於提升品牌價值

 

蔡松廷觀察到,因勒索軟體日益猖獗,越來越多高科技企業願意投入資安防護,因為威脅事件層出不窮,大家知道一旦遭受攻擊,恐將面臨停工、支付贖金等立即損失。然而現階段對其他產業老闆來說,投入資安只有花錢,沒辦法賺錢。他認為,企業要建立風險觀念,管理高層須認知到一但漠視資安的話,將可能會帶來的風險,如此一來企業才會採取更強烈的動機投入資安的防護。此外,企業應該轉變思維,了解資安的投入其實可帶來品牌價值提升。以電商為例,若 A、B 兩家同類型電商,其中 A 電商不斷傳出個資外洩、客戶頻接到詐騙電話等問題,無形中客群會往 B 電商靠攏,而 A 電商則造成無形的形象損失與實質的收入減損。

 

落實資安維護也可以強化客戶對於產品的信任,蔡松廷舉「網路設備」為例,國內一家知名網路設備大廠,曾因系統漏洞遭駭客利用且未積極修補改善,導致美國政府禁止該廠商出貨;另一家網路設備商則被要求提供程式原始碼,經美國政府檢視後才可販售,我們由這兩個例子則可看到「科技廠對資安漠視的程度,勢必會嚴重影響品牌的信任度」。

 

 

資安如防疫  依賴各界配合

 

Team-T5 杜浦數位安全有限公司創辦人兼執行長 蔡松廷先生。(圖/蔡雨婷攝影)

 

 

企業若要強化資安,蔡松廷認為最根本問題在於資源投入的決心,對於企業而言,人才與設備是關鍵資源之首要,其中如果有上層的資訊安全長統籌則更佳,最後,蔡松廷有感而發的表示,資安的防護如同防疫,需要大家配合才能守住,唯有企業願意投入資源進行防護,且員工落實相關資安措施,才能夠建構健全的企業資安防護網。


推薦閱讀

內容力 X 科技力 台灣以創意內容勇闖多元宇宙

2022.09.20 特約記者 賴品瑀

瞄準元宇宙娛樂商機 打造 Web 3.0 時代樂園

2022.09.15 特約記者 賴品瑀

面對元宇宙商機 運用軟體力挑戰「台灣+1」個市場

2022.09.15 特約記者 賴品瑀