資訊安全

圖片來源：Canva 科技業近期災情頻傳，先是裁員潮，而後又爆出資安問題。16日鴻海子公司京鼎傳出遭駭客入侵，不僅資料被竊取，更被勒索贖金，儘管臺灣證券交易所立即請京鼎發出聲明，並赴京鼎查核，但隔日京鼎股票仍下迭超過3%。這並非台灣科技公司首次面臨資安威脅，最知名的例子莫過於2018年護國神山台積電的病毒污染事件，2018年8月台積電受Wannacry病毒污染，導致多家晶圓廠機台當機，產線停擺三天，當季總損失高達約26億新台幣。時間來到2020年，疫情期間許多企業為防疫開啟了遠距工作模式，人們則因外出活動受限增加了網際網路的使用頻率，資安問題從被漠視到成為燙手山芋，駭客透過入侵員工的設備作為跳板危害公司內部系統，而缺乏資安意識的員工，透過不安全的網路上網、未妥善保管設備等，也增加了機敏資料（sensitive information）外洩的機率。 企業資安危機的發生原因雖有不同，但都造成企業或大或小的損失，政府部門也難倖免於資訊安全漏洞。2022年，我國政府部門共通報了765件資安事件，其中「非法入侵」為通報大宗，而在第三級嚴重事件中，「資料外洩」佔多數，主因為人員資安意識不足、不當操作或設定、誤將未遮蔽之個人資料公開，或錯置於未限制存取之公開區域等。而將視角拉高至全球，國家資通安全研究院發布的《政府機關資安威脅與防護重點》指出，全球資安威脅以「網路釣魚」為主要攻擊媒介，有意者攻擊供應商軟體，取得供應商系統存取憑證，進而獲取營運或客戶的機敏資料。 「資安問題，就是國安問題」並非誇大其詞，在俄烏戰爭正式開戰之前，烏克蘭政府就已遭受三波惡意程式攻擊，前二波皆以破壞磁區為目標，使資料遭刪除後無法再取回，第三波則鎖定發電廠和辦公區電腦，使電廠無法提供服務；此外，攻擊方亦發放假訊息、發動釣魚攻擊，並利用系統漏洞置換政府網頁，讓民眾擔憂政府組織遭攻陷，一步步促成社會恐慌。在變動的國際情勢下，更有力的資安政策刻不容緩，台灣跟進拜登政府的「零信任」（Zero Trust）政策，以「從不信任，始終驗證」（Never Trust, Always Verify）為宗旨，以最小權限為原則，根據「需要」提供訪問權限，並即時監控、分析異常活動，以便檢測並控制潛在威脅。 圖片來源: Canva 零信任政策也能導入企業之中，企業首需評估組織當前資通安全狀況，釐清現有風險和威脅，再導入零信任政策，防範資安問題。勤業眾信的零信任架構，將企業資安問題分為「用戶、工作負載、資料、網路、裝置」五面向，並透過「遙測與分析、自動化與編排」兩方法，分析、預警並解決企業資安問題。供應鏈安全對科技產業至關重要，企業應加強供應鏈的資訊安全評估，確保所有供應商皆符合資訊安全標準，以避免攻擊者運用系統平台漏洞，入侵企業內部網路。 資訊安全為企業數位轉型中的一部分，然而再良好的防禦措施與基礎建設，亦無從避免有意的外部攻擊，及無意的人為疏失。企業除了透過零信任政策加強防禦、建立可靠耐久的基礎建設之外，應時刻注意最新國際趨勢，了解最新資安威脅，並適時安排以數位素養、資通知識為主題的教育訓練，以減少可預防的人為疏失、培養員工的資安素養、提升組織面對數位變遷的應對能力。面對資安問題，絕不能僅靠資安部門一方努力，打造具數位韌性的企業，應促進跨部門合作，讓企業上上下下皆能實際參與，潛移默化資安意識，進而使所有員工成為資訊安全的第一道防線。 參考資料： 中央通訊社（2024），京鼎遭駭客入侵 分析：應優先強化攻擊前期防護。 經濟日報（2024），臺灣證券交易所赴京鼎公司查核資安事件。 林玟妏（2023），從烏俄戰爭中探討資安防護策略，新竹科學園區簡訊。 臺灣數位發展部（2023），111年度國家資通安全情勢報告。 陳威棋（2022），信任金融服務? 先從零信任做起，勤業眾信通訊。 TWCERT/CC（2022），遠距辦公的資安威脅與防護。 劉煥彥（2021），台積電三天痛失26億元的教訓！如何從機台中毒慘劇，變成全球半導體設備資安標準的總司令？，今周刊。 梁雁惠（2019），後疫情帶來的數位創新與資安威脅。 王宏仁（2018），【臺灣史上最大資安事件】深度剖析台積產線中毒大當機始末（上），Thome。 Jaye Tillson（2023）Zero Trust: Understanding the [...]