我‧见‧我‧思－

在数位转型的过程中，企业通常寻求增加效率、创造更多价值，资讯安全更不容忽视。图／本报资料照片

台湾作为全球供应链的重要枢纽，并有特殊政经地位，面临网路攻击的次数已高居亚太之首。近年经济不景气的情况下，骇客针对企业进行针对性攻击与勒索行为的案例更是逐渐增加。骇客组织甚至会根据不同专业分工，进行弱点研究、攻击、勒索、后勤和洗钱等活动，以最大化其利益。

■台湾企业遭网攻次数居亚太之冠

近期的一个趋势是勒索病毒成为一种即服务（RaaS），攻击者租用这些软体时，供应商会提供更新和保护，以确保病毒在短时间内能够绕过防毒软体的监控，许多台湾企业便是受到这样的勒索病毒攻击。而骇客为了增加获益，较常针对上市柜公司进行攻击，攻击的目标甚至会扩展到整个供应链，包括企业的供应商，勒索的金额从数百万到千万美元时有所闻。

个资法修正案近期通过立法院三读，未来业者若未善尽安全维护义务以致个资外泄，情节重大者的罚锾恐达最高15,00万元。然企业若以发生个资外泄或勒索病毒事件的机率来思考资安投资，如以发生机率5％ 计算，1,500万元X5％，损失期望值为75万元，除了预算较丰厚的上市公司外，很多企业可能还是宁可赌这机率，而非花100万左右的资安预算来做防御。换个角度看，或许勒索病毒愈趋强势才能催化企业重视资安投资。

传统的骇客攻击事件应变方式通常包括确认问题范围、止血、备份与还原等步骤，有时企业甚至会考虑支付赎金以避免问题扩大。然而，近年区块链技术的兴起也带来了新的挑战，骇客可以透过加密货币的特性迅速实现经济利益、并且难以被追踪，我们发现区块链上的项目几乎每天都有攻击事件，且影响范围更广更大更快速，从数十万到亿美金的利益让骇客趋之若鹜。

■数位转型，资安成必要投资

资安防御是一个没有终点的旅程，但以下应对策略若是都有做到，可让企业避免大部分攻击：1、资安顾问支援：资深的资安顾问可以提供专业策略建议，协助企业在有限的资源中建立最大化的纵深防御─多层次的防御措施，包括零信任（Zero Trust）安全、防火墙和敏感资料备份等。

2、员工资安培训：员工是企业的第一道防线，提供资安意识培训可以帮助他们辨识和应对潜在的风险。

3、职场演练和外部情资监控：透过模拟攻击和持续监控外部情资，企业可以在威胁真正产生前抑制其影响。

在数位转型的过程中，企业通常寻求增加效率、创造更多价值，然而资讯安全却不容忽视。我们自己在替客户做产品时，会直接在产品创建过程中便内建资安（Build Security In）作为，确保客户在数位转型过程中能够处理资安威胁。资安并非一个静态的目标，而是一个持续的过程，转型中须时刻往前并透过资安与品质把握，透过DevSecOps方法论确保其不脱离我们掌握的范围。