iThome
高科技業者這2年經常被鎖定成為頻繁遭到攻擊的產業,去年就發生了多起高科技企業重大資安事件。勒索軟體資安事件和駭客不只在去年是首要風險,在2022年,也依舊是高科技業者要面對的兩大首要風險,又以勒索軟體資安事件的衝擊最大,未來一年也最可能發生。
漏洞資安事件對高科技業者的影響,在今年明顯降低很多,但還是在衝擊高可能性也高的第一象限,名列次要風險之中,另外,高科技業者也得留意其他次要風險,包括了商業郵件詐騙、釣魚網站、社交工程手段。尤其是社交工程的威脅,在去年,高科技業者資訊主管雖然認為社交工程的發生可能性很高,因為帶來的影響較低,而關注度也不如對資安漏洞的重視。
但是,從今年資安大調查結果來看,社交工程帶來的衝擊,明顯提高了許多,甚至高科技業資訊長認為,比漏洞帶來的衝擊更高一些,甚至與釣魚網站的衝擊相當,這也讓社交工程手段的風險,進入了需要留意的年度次要風險項目之一。
面對這些風險,高科技難以抵抗網路攻擊的主因,除了員工資安意識不足之外(這一點跟其他產業相同),資安預算不足是高科技業資訊長和資安長的難題,連續兩年,都是在資安弱點排行榜前三名的問題(去年第三,今年更提高到排名第二的弱點)今年資安預算明顯提高了許多,從去年的平均357萬元,增加到了568萬元,成長幅度高達59%,但這個資安預算仍舊遠遠不足以因應資訊長和資安長所認知到的威脅,高科技業資訊主管認為,至少還需要追加4成資安預算才夠。
高科技業者近年紛紛開始推動智慧工廠、產線IoT畫的轉型升級,為了資料傳遞需求,得將過去封閉的產線環境連上網路,甚至與網際網路環境串接,這也帶來了許多OT資安的挑戰,面對這類與傳統IT環境截然不同的OT環境,資安工具提供的資訊不足而需要分析的資料又太多,這也成了高科技業資訊長認為擋不住攻擊的原因之一。防護力較弱的OT環境,面臨到來自網際網路的威脅,來自第三方為跳板的攻擊,在今年也提高不少,成了高科技業者必須留意的新風險。
另一個正在醞釀的新風險是顧客資安事件,雖然高科技業者位於產品供應鏈的上游,大多不會直接面對終端顧客,可是,隨著軟硬體供應鏈資安問題日益嚴重,顧客所用終端產品內的資安問題,可能來自上游供應鏈廠商的產品漏洞,也讓品牌商更重視供應鏈資安的連鎖性影響。
過去,顧客資安事件是品牌商的責任,但在未來,整個產品供應鏈都需要共同承擔和因應,發生在顧客端的資安事件,也因此,高科技業資訊主管和資安主管,也開始提高對顧客資安事件的關注程度,這項風險正逐步往第一象限移動中,未來發展如何,值得留意。
企業如何繪製自己的資安風險圖
這張企業資安風險圖還有另外一個運用方式,企業可以自己針對這24個項目進行評分,分為10級,衝擊程度從最低1分,到最高10分,而同一個項目未來發生可能性也同樣分為10級,1分最不可能發生,而10分代表最可能發生。若一項風險企業自評分數是衝擊8分,發生可能性4分,則採取這個公式(自評分數-5)/5,以衝擊8分來看,(8-5)/5就是0.6,而發生可能性4分是 (4-5)/5=-0.2,這就可以得到該項目的座標位置(0.6,-0.2),企業可以一一計算出24項風險的座標值,參考這張整體資安風險圖座標軸上的數值長度,繪製出自家風險的位置,可以用來跟彙整自416家企業的整體資安風險圖相比較,來看出,自家風險和產業一般性風險的分布差異上。
企業資安風險圖製作說明 在iThome 2022年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色文字的項目為今年發生風險明顯提高者。
問卷說明 大調查執行期間從2022年7月1日到29日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷416家,其中61.9%填答者為企業資安最高主管。
資料來源:2022 iThome CIO大調查,2022年8月
熱門新聞
2024-11-25
2024-11-15
2024-11-15
2024-11-28
2024-11-25
2024-11-29