iThome

製造業向來是IT和資安資源相對不足的產業,企業對自家資安防禦信心向來也較其他產業更低,今年還是如此,這也讓一般製造業必須更樽節資安資源,聚焦在最需要因應之處。從今年調查結果來看,勒索軟體資安事件、釣魚網站和駭客,是一般製造業在2022年的三大首要風險,又以勒索軟體資安事件的衝擊最大,發生可能性也最高。這與整體資安風險的局勢略有不同,尤其多了一項釣魚網站的威脅,是一般製造業格外需要留意,與其他產業不同的威脅。

一般製造業則要進一步注意商業郵件詐騙、社交工程手段和資安漏洞事件的次要風險。一般製造業可以採取更多釣魚郵件演練做法,將商業郵件詐騙案例變成內部員工測試信件,來提高員工的資安意識避免遭到詐騙。另一個可以提醒員工辨識出問題郵件的方式是,企業在外部郵件的主旨上,統一由郵件系統加註[外部郵件請注意」等警語標籤,讓員工清楚辨識這是來自外部的信件,尤其遇到變臉詐騙郵件,往往是偽裝成來自內部主管的郵件,一但發現內容疑似內部郵件,主旨卻標記上[外部郵件」的標籤,這就明顯是詐騙郵件,而不能輕易點選信中連結或打開附件檔案。

若從兩年風險變化來看, 另外,也得留意以第三方為跳板的攻擊則,這是一般製造業在今年突然竄出的新風險,企業容易因為過去沒有遭遇過而準備不足,反而變成了資安破口,甚至沒有留意,讓來自第三方的惡意程式,進入了企業內部環境,變成了潛伏的攻擊者。

一般製造業的偵測能力也較其他產業更弱,平均要9.8天才能發現自己被攻擊,攻擊者有不少時間在企業內網游蕩,觀察和竊取機密,一般製造業若有額外資安資源,也可以加強自身內部偵測能力來因應。
一般製造業過去一年對高層主管資安意識的強化,頗有一番成效,將近1成企業不再將高層資安意識視為企業弱點,這是值得嘉許的現象。但是資訊系統老舊的資安債問題,在今年相對更顯得重要,還沒有開始展開IT現代化工程的一般製造業,得加快數位轉型的腳步了。

企業如何繪製自己的資安風險圖

這張企業資安風險圖還有另外一個運用方式,企業可以自己針對這24個項目進行評分,分為10級,衝擊程度從最低1分,到最高10分,而同一個項目未來發生可能性也同樣分為10級,1分最不可能發生,而10分代表最可能發生。若一項風險企業自評分數是衝擊8分,發生可能性4分,則採取這個公式(自評分數-5)/5,以衝擊8分來看,(8-5)/5就是0.6,而發生可能性4分是 (4-5)/5=-0.2,這就可以得到該項目的座標位置(0.6,-0.2),企業可以一一計算出24項風險的座標值,參考這張整體資安風險圖座標軸上的數值長度,繪製出自家風險的位置,可以用來跟彙整自416家企業的整體資安風險圖相比較,來看出,自家風險和產業一般性風險的分布差異上。

 企業資安風險圖製作說明  在iThome 2022年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色文字的項目為今年發生風險明顯提高者。
 問卷說明  大調查執行期間從2022年7月1日到29日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷416家,其中61.9%填答者為企業資安最高主管。
資料來源:2022 iThome CIO大調查,2022年8月

 相關報導  

熱門新聞

Advertisement