未來資安戰場不只在電腦機房
KPMG CEO 全球展望報告出爐, CEO 們對於2021年的資訊風險管理議題,高度集中於因應外部因子,如:主管機關要求,及因應疫情導致的工作模式改變,所產生的各項數位變革需求與資訊安全風險。如台灣主管機關就規定保險業者,除了原資安規範外,在新契約招攬、核保、繳費、保全、理賠等相關作業之受理及受理後處理過程,若以非傳統紙本而改以數位方式進行時,仍需保留已針對客戶完成內容說明、身分核對、親簽,並以視訊錄音錄影方式留存紀錄,並在疫情降級後將正本繳回留存等的暫行規定等措施。
根據KPMG CEO 前瞻大調查中顯示,有 69% 的CEO 已在計畫縮小公司使用的辦公區域與樓地板面積,並且有37% 的CEO 規劃讓員工一週至少有2天以遠距模式進行工作,CEO 們已體認到未來的工作將以更數位化、行動化的方式開展。然而,工作地點脫離實體辦公室的“Work Anywhere”新模式,也將使得原本主要位於公司機房及正式辦公場所的資訊風險,延伸到包含家中的書房、臥室和餐桌上,如企業沒有警覺,網路防禦將面臨無邊界的高曝險挑戰,隨之而來的就是近期屢見不鮮的高額電腦綁架勒索事件與駭客入侵等風險。
在疫情期間實施遠距工作,為了更有效率的支援業務活動,企業必須提前做好網路安全、資訊安全與營運持續的投資與規劃。經營者與管理者必須特別關注內、外網路之介接與縱深防禦管理,針對允許遠端連線的設備考量建置零信任(Zero Trust) 之資安防護架構,強調異常存取行為的監控與告警,並且注重端點的安全使用與違規通報。
因為遠距工作模式廣泛的被應用在各產業當中,以非直接接觸方式與合作夥伴偕同合作,逐漸變成常態,因此,與合作夥伴間建立安全的資料傳輸、介接管道,與強固己身的安全防禦邊界,更是重中之重。依據KPMG 調查報告資料顯示,有高達75%的CEO 表示,建立好堅實的資訊安全、網路防禦與異常通報機制,將大幅提升與組織之利害關係者的信任。
資安也是 ESG 的重要環節
近年來, 企業的ESG 績效已成為市場參照的重要投資標準, 而ESG 當中的公司治理(G,governance),所代表的供應鏈管理等、公司穩定度、聲譽等,也與公司資訊治理、數據治理及資安內控管理、供應商營運持續管理、產品交付漏洞修補等議題高度相關。而金管會近期也發布上市公司若發生重大資安事件必須進行重大訊息公開的法令要求,更是突顯上市公司若發生重大資安事件,很可能導致上市公司營業秘密受到侵害、產線異常中止,或對營收有重大影響。顯然資訊安全、公司經營與投資人權利等原屬於不同領域的議題,相互的關係已愈來愈緊密。
供應鏈的資安透明度要求不斷升高
另一個未來對企業資安風險的迫切要求,來自於供應鏈中。在KPMG 的調查報告中,有 6 成以上CEO表示,來自供應鏈的監管要求愈來愈嚴苛,從過去僅要求證明具有充分的產品或服務履約能力,到必須提交完整的資訊安全與營運持續維護計畫,到必須取得資訊安全、營運持續第三方認證等,近期對風險管理的要求成長現象在製造業、汽車業、高科技業尤其明顯。
以近年台灣企業強力投資的電動車產業為例,如聯合國的世界車輛法規協調組織,已針對車聯網的資訊安全、軟體更新安全等,建立明確的管理成效和稽核要求,必須符合相關規範才可取得車輛型式認證。而德系車輛產業,則已經建立了可信賴的資訊安全評估交換標準(Trusted Information Security Assessment Exchange ,TISAX),作為整理車輛供應鏈的進入標準,所有Tier 1 與Tier 2 的供應商,都必須符合相關的標準後,才被允許與原廠簽約,並且在整體供應鏈與其他業者在資訊安全上呈現互信及可比較的透明標準。
除了預防,資安風險也要防禦及處理
面對多變的資訊風險環境,企業資安的最新對策,也如同全球各國應對最新疫情的策略相同,除了講求疫苗研發與施打的進度與廣度等「預防性」手段,大家也開始重視新藥研發,對病毒的防禦及消滅的「防禦性」效果。企業除了理解資安威脅的無所不在,並試圖找出能事先預防駭客攻擊、電腦病毒的做法外,也應正視與風險共存,並且能進一步消滅或降低資訊風險的方法。例如網路上的適當隔離措施、對於資安事故的處理與解決能力、及資料與設備的備援機制等,從識別(Identify)、保護(Protect)、偵測(Detect)、回應(Respond)、復原(Recover)等事件回應程序,配合完整的GRC (Governance,Risk, Compliance) 等資安治理面向,建構疫後新數位世界的防護視野。