iThome

高科技製造業這兩年積極展開了數位轉型,相關預算成長力道強勁,也帶動了對資安預算的投資,2023年,高科技製造業的資安預算平均有893萬元,約占IT預算的11.2%。高科技製造業的資安預算在IT預算中的占比,是唯二兩個超過2位數的產業。不過,高科技製造業者對自家資安能力有信心的企業仍舊不多,大約只有26.3%(其中只有1.3%對自家資安能力極度有信心),仍然遠低於金融和政府學校的資安自信心。

高科技製造業者過去一年面臨了極大的資安威脅,在2022年的遭駭指數高達91%,比整體產業指數50%來得高出非常多,平均一年遭駭天數多達10個月之久,這也讓高科技製造業IT和資安團隊不斷忙於因應各種不同的資安事件和威脅。需要通報到資安長的重大資安事件平均約17.3件,雖然和整體平均值相當,但是,高科技製造業發現攻擊時間平均長約10.6天,遠慢於其他產業的偵測能力,另外,高科技業者平均也得花8.5天才能復原,超過了一周,復原能力甚至比一般製造業還要弱很多。

資安防護力道不足的問題,將近3成高科技業面臨了系統老舊而無法因應網路攻擊的包袱,比去年26.7%更嚴重,也讓高科技業者更需要加速數位轉型和IT現代化的推動。
高科技製造業者也意識到這些包袱,高科技製業今年的IT投資重點,集中在數位轉型、雲端和資安,另外,雲端的投資增長更超過4成,在所有IT投資項目中排名第三,僅次於數位轉型和資安。

高科技製造業不只開始提高資安預算的投入,今年也有3成高科技製造業者想要擴編資安人力,來因應資安威脅。這些投資有機會提高高科技製造業者的資安自信心。今年高科技製造業資安重點投資會聚焦在網路安全和IT基礎架構防護上,另外也有5成高科技製造業想要強化員工資安意識的教育訓練。特別的是有意強化郵件安全的高科技業者也有5成,越來越多高科技業者意識到釣魚郵件成了社交工程的常見手段,而更提高警覺。

雖然資安預算提高了不少,但是,高科技製造業仍舊得善用這些資安資源,優先投入高風險衝擊又高的風險項目。從整體資安態勢來看,未來一年,高科技製造業需要特別注意的首要風險多達四項,包括了勒索軟體資安事件、釣魚網站、駭客發動的攻擊,以及社交工程手段的威脅,其中特別需要留意的是,釣魚網站和社交工程手段這兩項,今年的威脅程度突然竄升了不少,遠高於去年,因此,我們不止將這兩項列入了高科技製造業需要因應的首要風險,更改為紅色來強調風險驟增的劇烈程度。高科技資訊長展開數位轉型工程的同時,也得特別留意這兩項專門鎖定企業員工所發動的攻擊,員工資安意識不足,很容易讓攻擊者有機可趁。

另外,值得注意的是,高科技製造業這兩年也積極擁抱AI科技,更有不少知名業者想要嘗試生成式AI,高科技製造業的資安長們也評估,未來一年很容易出現到ChatGPT資安事件的可能,而ChatGPT淪為輔助攻擊工具的情況也很高,這兩項雖然資安長評估對企業衝擊較低,但卻列入了衝擊低而發生風險高的第三象限,尤其也逼近了第一象限,有可能成了高風險也高衝擊的項目,同樣是高科技業者必須列入警戒的資安風險項目。

次要風險則有兩項,包括了資安漏洞事件和商業郵件詐騙。其餘高科技製造業可以優先留意的高風險高衝擊項目,則有資料外洩事件、網路犯罪者發動的攻擊、以第三方為跳板的攻擊,以及來自內部人員的攻擊,內部人員對高科技業者的威脅程度與日俱增,尤其未來一年更是快速增溫,因此也以紅字來呈現。而大量依賴供應鏈來運作的高科技業者,也出現了越來越多透過第三方供應商作為跳板所發動的攻擊,必須強化供應鏈的資安防護和管理,才能更有效來因應。

 企業資安風險圖製作說明  在iThome 2023年CIO暨資安大調查中,由企業自評各資安項目的兩項指標,一項是該項目對企業帶來的衝擊程度(衝擊極高和衝擊極低),另一項是這個項目未來1年的發生風險(極可能發生與極不可能發生),再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊,位置越往上代表衝擊越大,水平軸是企業未來1 年發生該項目的風險,位置越右,代表可能性越大。紅色文字的項目為今年發生風險明顯提高者。

 問卷說明  大調查執行期間從2023年4月20日到5月10日,對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷407家,其中59.8%填答者為企業資安最高主管

資料來源:2023 iThome CIO大調查,2023年7月

熱門新聞

Advertisement