【iThome 2023資安大調查系列2】社交工程風險超越勒索軟體和駭客，ChatGPT濫用成新威脅

社交工程威脅，成了資安長在2023和2024年最擔心的頭號資安風險！在2023年iThome CIO暨資安大調查中，高達4成企業將這項威脅，列為未來一年最可能遭遇的資安風險，風險排名超越了去年名列一、二名的勒索軟體資安事件和駭客威脅。尤其，當員工資安意識和高層資安認知不足，成了許多企業擋不住資安攻擊的弱點，社交工程手段對企業資安的影響，也比遠比過去更具威脅性。

ChatGTP這類生成式AI技術的出現，更成了社交工程手段的新武器，用來自動生成比過去更擬人化、更針對性客製的詐騙話術和文字。原本就常見的資安風險，如BEC商業郵件詐騙、釣魚信件、誘騙簡訊等手法，也因此比過去更難快速分辨真假。這是為何比起ChatGPT外洩企業機敏資料的風險，資安長們更擔心ChatGPT遭濫用後帶來的威脅，有2成企業將ChatGPT列為今年最可能發生的資安風險之一，在十大風險排名中名列第七，僅次於BEC詐騙的風險程度，這是企業未來必須更重視的新課題。不少企業已經意識到ChatGPT帶來的認知威脅，紛紛加強員工對於生成式AI的資安意識，另外，也有少數企業開始重視高層低估生成式AI風險的影響。

每當新技術典範出現時，總是伴隨著兩面刃，一方面開創更多技術未來性和潛力，另一方面，也會顛覆原有技術帶來的資安威脅樣態，生成式AI的解讀和摘要能力，適合用於處理龐大的威脅情資和海量Log數據，能夠降低不少資安人員的分析負擔，但也讓攻擊者更容易扮演不同角色，來發動更高度個人化的社交工程手法。對企業來說，提高員工對新興技術的資安風險認知，比過去更顯得必要。

 問卷說明  大調查執行期間從2023年4月20日到5月10日，對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管，進行線上問卷，有效問卷407家，其中59.8%填答者為企業資安最高主管