iThome
這三年,疫情加速了服務業的數位轉型腳步,將更多產品和服務上雲,實體店面紛紛加開網路電商,甚至各種商家App紛紛上線,但這也讓服務業者面臨更大的網路資安風險。
這也讓服務業者遭受到了更多網路攻擊,2020年時,政府機關、金融機構的災情較高,是被重點鎖定的產業,但是到了2021年,服務業和高科技業成了主要災區,甚至服務業災情還比高科技業者更多,服務業在2021年的平均資安事件數居各產業之冠,多達18.4起。
服務業今年多項資安弱點都有改善,去年高達32.2%服務業苦於資安老手不足,今年下降到25.7%,已有不少業者順利招募到好手。工具面的問題今年也有不少改善,不論是資安公司資訊不足問題或是整合問題,分析資料太多的問題,都有不少企業解決,不再視為是企業資安弱點。
這也讓服務業的偵測能力表現居各產業之冠,可以在2.3天內就發現自己遭到攻擊,遠高於高科技業者長達9.1天才能發現。服務業的復原能力也表現優異。雖然資安事件多,但自身資安能力讓服務業者的遭駭指數只有26%,是高科技業者的分之一。
服務業今年所面臨的資安風險,和去年有不少變化。去年,服務業者主要風險是駭客攻擊、資安漏洞和勒索軟體資安事件, 次要風險有社交工程和網路犯罪者的威脅,另外在第一象限衝擊大又可能性高的風險,還包括了現任員工的攻擊以及關鍵基礎設施癱瘓的影響。
但是到了今年,勒索軟體資安事件和駭客攻擊成了服務業者在2022年的兩大首要風險。又以勒索軟體資安事件的衝擊最大,未來一年也最可能發生。其次,服務業得留意兩項次要風險,包括了釣魚網站威脅和社交工程手段的攻擊。反倒是兩項去年第一象限的風險,今年大幅下滑。
顧客資安事件和以第三方發動的攻擊則是今年突然竄起的服務業新資安風險。又以顧客資安事件的變化最大,從去年的第四象限(衝擊低可能性也低),一口氣進入了第一象限,甚至比雲端服務資安事件的風險更大,衝擊程度也和商業郵件BEC詐騙的影相當,另外,來自物聯網的攻擊和假消息不實資訊事件的影響,今年的風險等級也比去年高了不少,這些都是服務業資安主管和IT主管必須留意的風險變化。
企業如何繪製自己的資安風險圖
這張企業資安風險圖還有另外一個運用方式,企業可以自己針對這24個項目進行評分,分為10級,衝擊程度從最低1分,到最高10分,而同一個項目未來發生可能性也同樣分為10級,1分最不可能發生,而10分代表最可能發生。若一項風險企業自評分數是衝擊8分,發生可能性4分,則採取這個公式(自評分數-5)/5,以衝擊8分來看,(8-5)/5就是0.6,而發生可能性4分是 (4-5)/5=-0.2,這就可以得到該項目的座標位置(0.6,-0.2),企業可以一一計算出24項風險的座標值,參考這張整體資安風險圖座標軸上的數值長度,繪製出自家風險的位置,可以用來跟彙整自416家企業的整體資安風險圖相比較,來看出,自家風險和產業一般性風險的分布差異上。
企業資安風險圖製作說明 在iThome 2022年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色文字的項目為今年發生風險明顯提高者。
問卷說明 大調查執行期間從2022年7月1日到29日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷416家,其中61.9%填答者為企業資安最高主管。
資料來源:2022 iThome CIO大調查,2022年8月
熱門新聞
2024-04-29
2024-04-29
2024-04-28
2024-04-26
2024-04-26
2024-04-26
2024-04-26