用Podcast訂閱本節目 
Rti 中央廣播電臺 
國內企業近年發生駭客攻擊事件頻傳,甚至還出現將民眾個資洩漏、遭主管機關重罰的案例。專家建議,企業除了落實數位系統管理、精進漏洞掃描及修補等技術外,提升「資安意識」將是重中之重。
2021年下旬開始,金管會要求上市櫃公司發生重大資安事件需發布重大訊息,將過去只能「聽說」的資安問題搬上檯面,觀察近年上市櫃公司發布有關資安重訊數量,2022年為7家,2023年暴增到17家,2024年目前才3月,就已經有9家上市櫃公司發布資安相關重訊。
京鼎資安事件 揭露勒索軟體攻擊風險
最引人注目的莫過於鴻海集團旗下的半導體設備廠「京鼎」,他們的美國官網1月16日遭駭客攻擊,且駭客行徑相當大膽,直接在官網提出到要勒索錢財,如果不給錢,將洩露客戶個資,甚至摧毀資料、讓員工失業。而且京鼎幾乎是花了兩三天的時間才將網站復原,儘管他們對外宣稱損失不大,但已讓投資人捏把冷汗。
資策會資安所智慧雲端中心主任魏得恩分析,此案件明顯是中了勒索軟體攻擊,是所有資安攻擊中,最容易影響公司營運及聲譽的手段。數位部資通安全署長謝翠娟受訪時也表示,大部分被駭客攻擊的案例都是內部有同仁收了信、點了釣魚網站,把駭客引進來,並非防護有漏洞。
友達光電資安長楊峻程也直言,資安部門是企業中最沒有生產力的部門,「出事很重要、不出事就不重要,非常現實」,中小企業可能賺錢都來不及了,哪裡還有資源放在這塊。而且資安攻防是一個非常不對稱的競爭,防守的再嚴密,只要1個員工恍神、一個不注意點下去,攻擊者就成功了。他說:『(原音) 百密一疏,一個洞他就進來,攻擊只要成功一次啊,你防守你要全部防掉,我常常跟同仁講說那種樹大必有枯枝、人多必有..對,我們幾萬個員工,只要一個、兩個點了他就進來了,這是我們現在最大的痛點。』
資安防範三原則:管理、技術、意識
究竟該如何防範?楊峻程認為,除了技術面、管理面外,員工有沒有資安意識最為重要。魏得恩也指出,資安就是平常一點一滴做起,但道高一尺、魔高一丈,很難百分之百預防;他建議,企業平常一定要注重資安三原則,就是管理、技術跟意識,必須齊頭並進。
魏得恩解釋,在管理方面,例如資安相關的ISO27001規範,一定要合規,落實數位系統相關管理;其次靠技術如精進漏洞掃描及修補來把關,最後也是最重要的就是提升員工資安意識,釣魚郵件不要點等教育宣導。他說:『(原音)就像你家裡不想遭小偷,你當然希望大家出門要關門,大家如果沒有這個意識、出門就是不關,那一定會遭小偷的啊,加再多鎖有用嗎?鎖就是技術、關門就是資安意識、管理就是進出時間,這三項就像三角形,要三位一體,才有辦法做到資安防護。』
眼見不能為憑 民眾須提升警覺性
除了企業外,民眾也不能輕忽!根據趨勢科技防毒軟體統計,台灣2023年網路詐騙事件逾285萬筆,其中釣魚網站、購物、交友就佔了三分之二。資安專家認為,隨著生成式AI快速發展,幫助詐騙集團提高犯罪效率,近期國際上就發生多起利用生成式AI技術進行的詐騙案例,如運用Deepfake深偽技術進行變臉、變聲,模仿親友面貌或口吻藉此謀取錢財等。
資安專家呼籲,任何不明來源的圖片、影像、音訊等皆可能是詐騙集團透過生成式AI技術偽造而成,民眾對任何網路上的訊息均應檢查來源、再三查證。趨勢科技台灣區總經理洪偉淦說:『(原音) 比方講說從前我們會覺得這種詐騙只是可能是這個所謂文字式的詐騙,那接下來現在已經看到影音的詐騙出現了,譬如說,你從前以為眼見為真,現在已經不是了,所以從某個角度而言,因應生成式AI的出現,其實對於資安這件事就每個人都要有更高的警覺度。你要理解到一件事情,就跟從前不同了,你聽到、你看到的都不見得真的。所以在網路世界裡面,很多事情你都要抱著懷疑的態度,再次確認他的真實性,那當然確認真實性最近有很多的方法,但是心中一定要有這種警覺性,我覺得這是大家必須要有的面對新的科技,我們需要這樣的觀念這樣子。』
法規日趨嚴謹 企業資安投入迫在眉睫
在網路環境越趨複雜的情況下,推動零信任(Zero Trust)架構、也就是任何交易、個體與身分在獲得信任並持續維持信任之前,全都不可信任,和過往認為網路在被發現遭到入侵之前是安全的的觀念完全不同。金管會已要求銀行逐步落實零信任;美國政府更率先全球發布行政命令,要求聯邦政府機構在2024年前制定推動零信任架構的運用計畫,並鼓勵私人企業跟進。
為加強企業在資安方面的投入,金管會近日更明定發布資安重訊的「重大性」標準,一是公司核心系統遭到入侵,無法正常營運或提供服務,應即時發布重訊;二是損失金額逾股本20%或新台幣3億元,則要召開記者會公開說明,有別於過往是由企業自行判斷「重大性」。
隨著生成式AI進化,各種攻擊防不慎防,企業應思考若輕忽資安,丟失高價或機密資料不說,甚至還要付出不少代價來修補漏洞及客戶的信任;消費者也應保護自身個資,提升「資安意識」雖有些老調重彈,卻是最關鍵的防護措施。
延伸閱讀 【AI時代下的資安危機】系列報導
‧系列(一)/文字、聲音、影像都能造假 連駭客都進階了
‧系列(二)/聯網設備皆要防護 台灣資安人才足夠嗎?
