近年來不論是大型傳統產業或是高科技業者，時有消息傳出企業遭到勒索軟體攻擊，並導致產線、系統停擺帶來鉅額損失。隨著勒索病毒日漸猖獗，國內對於資安重視程度也日漸提升。投入資安產業多年，Team-T5 杜浦數位安全有限公司創辦人兼執行長蔡松廷指出，目前駭客依攻擊型態主要分「網路犯罪（cybercrime）」、「網路間諜（cyber espionage）」二大類。

 

Team-T5 杜浦數位安全有限公司創辦人兼執行長 蔡松廷先生。(圖／吳佳穎攝影)

 

 

比特幣助長勒索軟體興起

 

勒索病毒屬於「cybercrime」，目標很簡單就是要賺錢，多採無差別攻擊。但這幾年由於攻擊個人電腦，一般民眾付贖金能力約莫在1～2千美元之間，遠低於企業贖金 1 ～ 3 千萬美元，且企業在營運中斷的壓力下，繳付贖金意願較高，因此「攻擊者越來越針對企業進行攻擊，甚至會特別鎖定企業防毒系統的漏洞或弱點攻擊，因此特別難防。」

 

蔡松廷分析，雖然早在 2007 年就有勒索病毒出現，但當時由於金流容易追查，因此相關犯罪型態並未盛行，但這幾年在加密貨幣盛行下，駭客多要求交付比特幣等加密貨幣以規避調查，因此日漸猖獗。

 

 

網路間諜竊取資料  資安問題升級國安危機

 

另一種攻擊型態是「網路間諜」，駭客入侵後，潛藏在企業內部網路蒐集資料並伺機將資料回傳，其中去 (2020) 年底美國軟體商 SolarWinds 發生的供應鏈攻擊牽連甚廣，堪稱為核彈級影響。 SolarWinds 遭駭客於軟體開發過程中植入惡意程式，並隨著釋出的軟體更新部署至客戶系統，造成包含美國商務部、國務院、國土安全部等多個政府部門及資安、科技大廠遇害。經數位鑑識調查，這可能是俄羅斯國家級駭客所為，資安問題升級為國安危機。

 

台灣也面臨類似問題，蔡松廷觀察，目前國內遭駭客攻擊對象很大一部分是政府單位，攻擊方式分 2 大類：第一類是偷資料，從政策、民眾個資、內部溝通文件到未公開資料等，其中國防、高科技產業也是蒐集目標，同時智庫由於時常參與政策制定，因此也是駭客攻擊目標之一；其次則是潛伏期間等待破壞時機，如想針對特定事件造成壓力，可能會抓準時機癱瘓系統。

 

 

思維轉變  資安利於提升品牌價值

 

蔡松廷觀察到，因勒索軟體日益猖獗，越來越多高科技企業願意投入資安防護，因為威脅事件層出不窮，大家知道一旦遭受攻擊，恐將面臨停工、支付贖金等立即損失。然而現階段對其他產業老闆來說，投入資安只有花錢，沒辦法賺錢。他認為，企業要建立風險觀念，管理高層須認知到一但漠視資安的話，將可能會帶來的風險，如此一來企業才會採取更強烈的動機投入資安的防護。此外，企業應該轉變思維，了解資安的投入其實可帶來品牌價值提升。以電商為例，若 A、B 兩家同類型電商，其中 A 電商不斷傳出個資外洩、客戶頻接到詐騙電話等問題，無形中客群會往 B 電商靠攏，而 A 電商則造成無形的形象損失與實質的收入減損。

 

落實資安維護也可以強化客戶對於產品的信任，蔡松廷舉「網路設備」為例，國內一家知名網路設備大廠，曾因系統漏洞遭駭客利用且未積極修補改善，導致美國政府禁止該廠商出貨；另一家網路設備商則被要求提供程式原始碼，經美國政府檢視後才可販售，我們由這兩個例子則可看到「科技廠對資安漠視的程度，勢必會嚴重影響品牌的信任度」。

 

 

資安如防疫  依賴各界配合

 

Team-T5 杜浦數位安全有限公司創辦人兼執行長 蔡松廷先生。(圖／蔡雨婷攝影)

 

 

企業若要強化資安，蔡松廷認為最根本問題在於資源投入的決心，對於企業而言，人才與設備是關鍵資源之首要，其中如果有上層的資訊安全長統籌則更佳，最後，蔡松廷有感而發的表示，資安的防護如同防疫，需要大家配合才能守住，唯有企業願意投入資源進行防護，且員工落實相關資安措施，才能夠建構健全的企業資安防護網。