【iThome 企業資安大調查】資安投資力道回穩，企業今年更聚焦網安和災難復原

臺灣大型企業今年的資安投資重點不太一樣。員工資安意識不足，仍是企業最擔心的資安風險，但是，從今年資安投資動向來看，企業更實務地因應接踵而來的資安挑戰。

先從資安投資規模來看，今年資安投資成長率，從去年的73％暴漲，回穩到10.2％，這個資安投資成長率大約和今年IT預算成長幅度相當，換句話說，企業平均比去年多了1成資安預算。從產業來看，去年金融業和服務業的資安預算大增，甚至翻倍成長，今年則指有些微提高。但去年預算緊縮的醫療業，受到資安法上路的衝擊，開始對醫院有更多的資安要求和規範，醫療業今年的資安投資翻了3倍，居各產業之冠。

以金額來看，大型企業今年平均資安投資是739萬元，又以金融業的3,839萬元最高。不過，這樣的資安投資，仍離CIO認為足以因應資安威脅所需的金額，平均還少了8成，尤其醫療業和政府機關，資安預算不足感最強烈。

IT基礎架構向來是資安投資大宗，不過，今年重視網路安全的企業更多了，甚至超越了IT基礎架構防護的排名，成了排名第一的資安重點。另一個今年崛起的投資重點是災難復原（DR），而想要強化員工資安意識的企業今年則減少了，企業等不及員工改變，改先從恢復力著手，倒是今年有8.6％的企業，準備要來提升董事會和CEO的資安意識，將資安意識的教育，拉高到高層。

值得注意的是，不少國外當紅的新興資安技術、資安作法也開始吹進臺灣，例如今年有2.1％的企業要實施紅隊測試，要組一個專門團隊從駭客思維來進行自我攻擊，想辦法找出企業資安防護網的弱點。另外也有1.8%企業決定要推出漏洞獎勵計畫，雖然仍舊是個位數的企業有意採用，但這代表了臺灣企業更快速地跟上全球資安趨勢的作法。

在資安人力上，目前仍有半數企業由IT部門兼資安單位，甚至有27.2％企業沒有資安專責人力，只是由IT人員兼任。但是，資安人才不好找，是僅次於.NET開發人員和MIS人員的熱門職缺，比起AI人員，更多企業想要招募資安人員。主要資安職缺是資安工程師和網路安全人員，另外，資安中階主管和熟諳資安的開發人才也很搶手。更有些企業要招募特殊資安專長人才，如滲透測試、弱點分析、惡意分析、數位鑑識、資安AI分析等職缺都有。

企業資安實力持續提升，也導致，今年編列了資安委外預算的企業減少了，從去年的18.2％，降低到今年的14.1%，不過，從產業來看，仍有26.7%的金融業者、30.3％政府與學校將部分資安工作委外，引進外部專業資安團隊來協助自家的資安防護。企業今年主要會採取委外的資安工作，包括了弱點管理與滲透測試、資安威脅監控、特定資安事件諮詢顧問，也有13.6%企業將資安維護作業委外。另有3成金融業者今年計畫要委託外部公司來進行對內的釣魚攻擊測試，這也是一個用來強化員工資安意識的方法。

7成企業去年至少發生過1次資安事件

臺灣企業依舊飽受各種資安攻擊的威脅，去年高達7成企業，發生過至少一次的資安事件，甚至有16.1％的企業發生了超過50次以上的資安事件，幾乎是每個禮拜就發生一次。

企業平均得花上11.5天，才能發現自己遭攻擊，一般製造業甚至得花上23.7天。發生資安事件後，能在一天內復原的企業只有63.1%，比去年74%，還少了一成，甚至有3成企業要數天到1周才能恢復正常。常見資安災情是造成企業業務或服務中斷，為了因應這些事件，也連帶提高了企業資安建置的成本。

企業自認擋不住資安攻擊的關鍵仍舊是員工，前五大風險依序是員工資安意識不足、惡意程式、釣魚攻擊、勒索軟體和垃圾郵件。這些都可作為企業今年調整資安戰略的參考。文⊙王宏仁