近期臺灣面臨地震活躍期的風險,而平時不顯露於地表的盲斷層又開始被民眾廣為討論。依據網路維基百科所述,盲斷層是指沒有破裂到地表,因此從地表看來沒有任何異狀的斷層類型。大部分在地圖上也沒有繪製出該盲斷層的實際位置,只有當發生突如其來的地震時才可能被人們所發現。而臺灣企業所面臨的資安風險,也有著相似的「盲斷層」現象。
KPMG 安侯建業透過CEO 2022 outlook 觀察到,臺灣企業CEO 普遍對組織的資安有著高於全球平均的信心,為了避免企業「自我感覺良好」,協助臺灣企業找尋「盲斷層」突破盲點,KPMG 彙集資安各領域專家,發表2022 年臺灣企業資安曝險調查報告,KPMG 資安曝險大調查針對六大產業,包括金融、半導體、電腦及周邊製造、電子商務、供應鏈核心及新創。透由報告發現台灣本土企業潛在資安風險,讓臺灣各產業能夠透過駭客的視角,全面性審視企業目前網路防禦現況是否充足、應變人力是否齊備。報告經抽樣調查60 家臺灣企業的平均曝險僅為C 級(70 ~ 80 分),通常具備一般技術的駭客就能入侵。
本調查主要發現
1. 多數企業輕忽社群媒體所衍生的網路攻擊
大部分企業都擁有社群媒體的專頁,且員工也非常容易於社群媒體上暴露自己的公司聯絡資訊,導致駭客發動魚叉式精準社交工程時,成功得手機率大增。
2. 臺灣各產業資安人員能量均嚴重不足,企業資安人力亮警訊
臺灣企業在人力資源風險 (Human) 中,於「資安團隊戰力」相關成績顯示,資安人力缺口十分明顯。60 家受調企業中,經外部情資分析顯示,就可能有高達一半以上企業未配置 CISO或資安人員。
3. 供應鏈核心產業亟需加強網路防護
原物料、運輸等供應鏈核心產業,不僅在平均網路防護分數墊底,該產業更有高達近 50% 的企業落在整體排名的倒數 15名,網路防護亟待加強。
4. 金融業網路防護表現仍最佳,但面臨高度挑戰
金融業於各面向的平均分數皆取得優異的成績。但因金融網路犯罪利益巨大,讓金融業今日仍飽受內外部威脅與挑戰。
5. 導入並驗證資安國際標準,將顯著降低資安曝險
本調查發現取得國際資訊安全認證能顯著的提升資安能力,根據分析調查結果發現,在 60 家台灣企業中,其中有 21 家企業有取得國際資安管理標準認證。對比曝險分數可以發現,成績越高的群組,導入並驗證國際資安標準的比例越高。