iThome

如何具體量化一家企業的資安體質?這是iThome資安大調查最重要的目標。從5年前,開始在每年的iThome CIO大調查中同步執行資安調查,累積了1,984份來自臺灣大型企業第一手資安數據,將臺灣企業資安現場最真實的樣貌,轉換成各種量化圖表,作為企業資安決策之用。

這兩年我們開始嘗試設計更多不同形式的分析圖表,希望可以提供更多資安技術決策或投資規劃的參考。去年我們發表了企業資安風險圖,來呈現每一個產業不同層度的資安風險項目,作為資安資源有限時的排序參考。今年,我們進一步提出一個全新的指標「遭駭指數」(Under Attack Index),可以作為衡量一家企業,甚至是一個產業資安體質的整體性指標。

我們將一次資安事件的完整發生時間(企業遭駭平均發現時間加上發現遭駭後的平均復原時間),乘以一家企業一年平均資安事件數量,就可以得到一家企業一年得承受的遭駭天數。在這段時間內,企業處於遭入侵而不自知,或者發現被駭而還沒復原的狀態,就像是確診前的潛伏期,到確診後治療,尚未康復前的生病過程一樣。

近一步將遭駭天數除以365天,就可以得到相對性的百分比分數,方便進行各產業比較,也可以供企業與自己真實的數據來試算相比,了解自己與產業資安體質的落差。這個百分比就是遭駭指數,數值越低越健康,最理想數值就是0,也就是完全沒有發生資安或入侵事件。

2021年的整體產業遭駭指數是45%,也就是說,過去一年,臺灣產業有45%的時間處脆弱期。看似不低,但相較於過去2年,2019年的遭駭指數高達69%,等於一年每3天就2天企業的資安生病了,但隔年逐漸好轉,跌到53%,今年的整體產業遭駭指數繼續下滑,這也反映出,從2020年企業各項資安強化作為,開始發揮了作用。

8成企業去年發生至少一次資安事件,2成企業更是超過了50次,駭客或惡意程式在企業的潛伏時間平均約6.2天,有6成多企業可以在一天內復原。

進一步從產業別來看,不同產業的遭駭指數落差非常大。金融業向來是資安優等生,2021年的遭駭指數也只有16%,過去一年的脆弱期不到2個月,而政府機關在資安法上路後,展開大規模和系統性的資安強化作為,也讓遭駭指數降低到18%,資安體質僅次於金融業。高科技製造業的資安體質最差,高達74%,甚至比一般製造業更糟糕。關鍵原因就是,高科技製造業去年資安事件數目偏高,再加上遭攻擊後的平均復原時間長達6.7天,幾乎是一般製造業者的兩倍時間之久,才導致遭駭指數飆高。

 問卷說明  大調查執行期間從2022年7月1日到29日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷416家,其中61.9%填答者為企業資安最高主管。

 相關報導  

熱門新聞

Advertisement