【網路安全應視為投資而非成本】從資安經濟學思考，網路攻擊影響財務與營運風險

網路安全帶來的威脅越來越嚴峻，使企業營運持續面臨重大挑戰，加上最近百工百業迅速採用AI的態勢，企業在看重增加競爭力的同時，也面對安全AI使用與部署的新難題。

近年來，日益複雜的網路安全格局對經濟有深遠影響，不只是過去的資安事件已在在反映出，網路攻擊與更廣泛的經濟環境息息相關，另一方面，難以有效量化資安風險的問題，這幾年我們也看到這方面有諸多探討。

例如，最近幾年的臺灣資安大會上，至少有兩位專家的演說強調企業應該採用定量風險分析模型（FAIR），因為可將資安風險量化成以金錢為單位，而在2024美國黑帽大會期間，資安業者趨勢科技揭露用AI幫助計算風險損失金額，並在管理介面新增這樣的指標。

對於網路安全與經濟的影響，我們還能如何看待？

最近世界經濟組織（WEF）發布一份《2025年全球網路安全展望》報告，相當值得參考，因為當中特別從六大構面的交互影響去看待整體變化，涵蓋地緣政治、網路犯罪、供應鏈，到法規合規、AI風險，以及資安人才短缺。

世界經濟論壇發布的網路安全2025展望報告當中，特別將資安經濟學列為一大主題，突顯網路攻擊對經濟的影響，以及網路安全環境日益複雜，當中也呼籲企業需將資安威脅視為企業風險，而非純粹的技術挑戰，並且將資安當成策略性投資，而非營運成本。圖片來源／世界經濟論壇

特別的是，在探討上述網路安全的複雜程度之餘，WEF還提出了特殊觀點，彰顯「網路安全經濟學」（Economics of cybersecurity）的議題，明確呈現網路攻擊對於經濟層面的影響。

為了幫助大家了解這方面的資安態勢，我們找上BSI英國標準協會的專家，請他們解讀，該公司之前經常闡釋WEF的年度全球風險報告，解析數位信任與永續的全球局勢。

 WEF資安經濟學呈現5個重要現象 

● 網路攻擊與整體經濟環境緊密相連，從過往的資安事件可以獲得證實。

● 網路安全應視為投資而非成本，企業組織需量化資安風險及其經濟影響。

● 資安長需將資安風險視為企業風險，並從業務連續性、企業聲譽及財務影響等角度來解釋資安事件。

● 日益複雜的網路安全環境，加劇資安不平等現象，資源有限的中小企業更容易成為攻擊目標。

● 讓資安投資與企業其他優先事項取得平衡值得深入探討。

資安應被視為未來的關鍵投資，而非單純的營運成本

對於WEF提出「網路安全經濟學」的概念，BSI英國標準協會台灣分公司營運長謝君豪表示，這有助於大家從不同角度審視網路安全議題。其中有許多觀念早已為人所知，但WEF 以「網路安全經濟學」一詞詮釋，確實是相當恰當且具有啟發性的表達方式。

近年來，WEF持續統整網路安全局勢的變化，提供企業強化資安防護的關鍵考量層面，而在WEF前幾年的相關報告中，通常強調4個重點面向，今年比較特別，因為涵蓋了更多議題，進一步呈現當前資安挑戰的高度複雜性，同時也從經濟角度來突顯問題。

謝君豪指出，WEF這次綜觀全球網路安全所有重要議題，提到一個很重要的觀點：企業組織在應對網路安全的策略上，不能將資安當成是一種「成本」，而是要當成「投資」。

這樣的觀念相當具有啟發性，但臺灣企業需要一些時間理解。原因在於：資安投資往往很難看到成效，只有在真正發生資安事件、帶來影響時，以及上市櫃公司發布資安重訊時，企業高層才會覺得必須要投入。

此外，由於網路安全環境日益複雜，現行各類法規開始要求董事會更加關注網路風險，因此，資安長需將資安威脅視為企業風險，而非純粹的技術挑戰。

謝君豪認為，這部分也就是他們一再強調的：企業組織管理層要給予更多的支持，現行主管機關對於企業組織的資安要求逐步提高，其實也是基於同樣的道理，還有像是獨立董事需具備資安專業背景，組織內部要建立當責制度，這些議題都很關鍵，但需要讓更多企業重視與做到，還是需要時間去改變。

此外，WEF從商業模式看待問題，謝君豪亦認為這是不錯的觀點。例如，過去資安解決方案隨著各種威脅態勢迸發而成形，現在網路犯罪領域也發展出有利可圖的生意，成為另一種市場經濟型態的體現。

還有威脅日益嚴重之下，為了降低企業財務衝擊，資安保險成為一種商業模式。而在保險費率與理賠的精算上，這也與資安風險量化其經濟影響有關。

換言之，不論資安投資或網路攻擊的財務影響，對於企業而言，隨著網路風險滲透到企業更多領域，企業必須將資安風險管理與市場風險管理，有同等的對待方式。

儘管資安經濟學仍是尚待深入探討的領域，但從經濟角度出發來提升資安韌性的論點，已經令人難以忽視。

資安能量差距擴大，了解國內SI廠商資安能力強弱勢在必行

另一焦點在於，日益複雜的網路安全局勢，更是造成網路不平等（Cyber inequity）擴大的狀況。根據WEF的觀察，擁有足夠資源與能力來強化資安的企業，與那些沒有足夠資源與能力的企業，彼此之間的差距正在擴大。

對此議題，謝君豪認為，不論前述的網路安全複雜程度，以及大型企業、小型企業，大家所面對的挑戰都不同，這與臺灣企業組織面臨的狀況很相像。

以臺灣上市櫃公司為例，單從公司規模來看，臺灣證券交易所畫分出三個級別。例如，第一級公司是資本額100億元以上，或是前一年納入臺灣50指數，以及電子商務與人力銀行產業；第二級公司的數量占絕大多數，雖然這些公司有賺錢，但規模上有很大落差，有資本額90億的公司，也有資本額不到10億的公司；第三級公司則是最近3年度稅前純益有連續虧損的公司。

換言之，同樣都是上市櫃公司，彼此的規模與能量仍有很大落差。

再從國內金融業與電信業來看，資安已經是做得相對較好，但即便像是金融業，雖然受到高度監管、資安投入較多，同樣存在規模大小不一的現象。像是我們有大型銀行也有地方銀行，銀行與證券的能量也完全不同，這些都與經濟規模、獲利有關。

因此，在面對這樣的態勢下，全球已在強調需要公私合作，以及資訊共享與威脅情報，包括透過電腦危機處理中心（CERTs），以及資安資訊分享與分析中心（ISAC）來聯防。畢竟，不論臺灣或國際間，許多公司仍處於建立網路韌性文化的初期階段，甚至還要有更多國際聯防。

此外，資安不平等的態勢擴大，資源有限的中小企業更容易成為攻擊目標，政府如何透過提供幫助、要求規範，或是激勵措施，也成為重要考量面向。

這方面臺灣已經越來越看重，例如，資安法針對8大關鍵基礎設施祭出要求與規範，以及建置各領域I-SAC推動資安聯防，台灣電腦網路危機處理暨協調中心（TWCERT/CC）也扮演關鍵角色。

另外，政府主管機關也會藉由針對上市櫃公司規範種種資安要求，促進更多產業行動，並且也祭出資安投資抵稅等激勵措施。

但若從現況來看，還有其他環節也要我們投入關注，謝君豪特別點出系統整合廠商（SI）的狀況。

這是因為，隨著供應鏈越來越複雜，當企業在將資安風險視為企業風險的同時，不只是要人、要錢、要技術，還要跨單位配合，而且，現在大部分企業也運用更多的新興科技，但一些企業內部仍是以同樣的IT團隊來管理，而委外就有其重要性，因為企業可能自身沒有如此多的控管能量，但委外要如何監督？

謝君豪舉出一個場景，說明當中可能發生的問題。以SI廠商工程師使用的筆電而言，就有公司提供分期補助、員工自行購買的狀況，謝君豪接著問道：「這臺電腦的系統與軟體與更新，是誰在負責管理？」

其實這樣控管不一致的情形早就引發討論，謝君豪認為，現在政府開始要求SI廠商做好資安，同樣相當重要。

至於資安投資權衡的問題，除了上述資安風險如何量化為金錢，還有資安投資如何與企業其他優先事項取得平衡的問題，同樣值得大家探究。

AI新興科技帶來新機會與風險，應對時須建立資安文化

WEF在網路安全複雜性的議題中，亦談討AI與新興科技風險的議題，在去年底舉行的國際資安標準管理年會上，BSI亦呼籲重視AI科技風險，因此，我們也請謝君豪多談談這方面的看法。

謝君豪指出，BSI這幾年非常重視數位轉型，對於一間已成立120年的公司而言，新的變化相當之大，而且現在他們公司仍是每星期有兩天居家上班。他並認為：「從遠距辦公，就可以測試一間公司的資安是否夠好。」

謝君豪表示，現代企業須體認到：不僅網路威脅的變化速度極快，數位化與科技革新的步伐也在迅速加快，未來幾年，每一年的發展可能都相當於過去十年的累積變化。

隨著AI技術廣泛應用，且持續高速演進，我們不難預見其將對工作方式產生顯著影響。因此已有許多專家強調，未來AI勢必與人類形成互補關係，但我們更要積極提升自身專業能力與競爭力。

謝君豪更是談及BSI自身經驗，說明不僅企業要激發大家應用AI，也要教導使用AI的同事們具有正確的觀念。

例如，BSI在最近召開針對公司內部半年一度的年會中，根據員工對新知的需求，舉辦多場不同主題的AI工作坊，例如，如何利用AI規畫旅遊行程，使用NotebookLM等工具解析複雜文件，以及運用Gamma AI建立與優化簡報。透過這樣的分享活動，可以啟發大家對生成式AI的應用。

同時，建立正確的AI使用觀念很重要。因此，他們也在這場公司年會上，持續對全體員工傳達生成式AI的使用原則。謝君豪表示，其實，BSI過去兩年已經積極探討如何將AI應用於工作流程，像是強化教育訓練、稽核的任務，或是分析多年來發現的缺失，找出弱環節列為稽核重點。

事實上，BSI很早就制定並公布生成式AI使用原則。具體而言，公司該做的控管都會做，但同時也會教育重要觀念，像是員工僅能使用公司授權的AI服務，若要使用其他AI工具，必須經過主管同意，且嚴禁將任何公司機密上傳。

雖然聽起來很老生常談，謝君豪指出，訂定基本規範並要求遵守，再根據實際執行情況去調整規範，畢竟最初每個人對AI也不知道如何管控。

但大家可能還是會想這樣的規範有用嗎？事實上，BSI過去針對內部上網、雲端使用、BYOD等，制定明確資安政策與使用規範，現在也只是多了生成式AI使用政策。

而且，有很多資安概念其實在之前就已經建立，並且不斷累積。例如公司本身有許多的內部教育訓練課程與測驗，以寄送電子郵件為例，都會告訴大家在寄出每一封電子郵件前，都要判斷這是公開、內部或機密的內容。

換言之，在多方面培養員工資安意識之下，以既有共通觀念，後續公布的生成式AI應用原則無需過於細節化，因為許多基本理念已然互通並具參考價值。這也突顯出，對於使用新興科技或是AI，又或是推動數位轉型，這些資安文化的建立是至關重要。