KPMG 臺灣企業資安曝險大調查:疫情撩起資安大海嘯,「三多」密技避免成為下一個受駭者

KPMG 臺灣企業資安曝險大調查:疫情撩起資安大海嘯,「三多」密技避免成為下一個受駭者

一般人對大企業的印象,都是門禁森嚴,但仔細觀察企業網路環境可以發現,凡事講求生產效率與成本的台灣大企業,對資安的重視普遍程度不高,加上疫後遠距科技的多元應用,造成網路安全高曝險結果

1000
Jason Hsieh

KPMG台灣所顧問部營運長、安侯企業管理(股)公司董事總經理、安侯數位智能風險顧問(股)公司董事總經理

KPMG in Taiwan

Email
cyber

2020年新冠肺炎造成全球巨大衝擊,企業爭先恐後導入雲服務、智慧物聯網、遠距工具等新興科技。但依據KPMG最新公布的《臺灣企業資安曝險大調查》結果,抽樣的50家本土大型企業中,在網路防護方面,僅繳出尚可的C級的成績單,具備一般能力的專業駭客,就有可能進行入侵。

對於整體的調查結果,KPMG安侯數位智能風險顧問公司董事總經理謝昀澤表示,這是個「意料之外、情理之中」的成績。一般人對大型企業的印象,都是門禁森嚴,但仔細觀察實際的企業網路環境可以發現,凡事講求生產效率與成本的台灣大企業,對資安的重視普遍程度不高,加上疫後遠距科技的多元應用,就造成了網路安全高曝險結果。

KPMG報告所抽樣調查的50家臺灣大型企業中,包含了五大產業,除了金融業的87分外,其餘產業平均皆與金融業有很大差距,呈現「一好四壞」的現象。特別是電子零組件製造業、通訊業與電腦及周邊設備製造業,亦即通稱高科技業的「護國群山」們,於本次調查中的網路防護安全性分數,平均只有68分,除少數公司可以擠身領先群外,多數落後於台灣其他產業。

cyber

另依據調查工具中的財損模型推測,台灣高科技業潛在平均資安財務損失風險超過3000萬台幣,比整體調查平均高出5成,成為駭客眼中標準的「肥羊」。謝昀澤分析,近期駭客對高科技產業的狙擊更加猖狂,常見事故包含電腦綁架勒索、電郵偽冒詐財、機密竊取等,都反映資安挑戰日益嚴峻,但這群肥羊不但網路防護成績墊底,更在網路上留下比其他族群高達數十倍的「腳印」(可供駭客入侵的數位足跡)。謝昀澤因此提醒,若高科技產業不趕緊提升資安控管和自身防護能力,駭客將有機會進行更大規模的屠殺。更甚者因供應鏈的網路環環相扣,很容易因單點、單一系統,或單一公司遭入侵,而對整體供應鏈產生巨大衝擊。

金融業在調查報告的網路防護分數四大面向中,不論是隱私性、安全性、韌性、聲譽皆為全產業表現最優異,且平均成績都接近A 級(只有世界一流駭客才能侵害)。謝昀澤認為,國內金融業能普遍成為「績優生」,是因為近年主管機關的高度監理。在違反金融法規時,除了將遭重罰,信譽下降、創新服務無法順利上線等因素都將造成重大營收損失,成就了金融業成為台灣企業的資安標竿。但謝昀澤也提醒,金融產業擁有豐富且價值高的金流資訊,因此迄今仍為駭客集中精力攻擊之標的。根據國際研究機構的報告指出,金融業受到網路攻擊的可能性為其他業的300 倍,且每年攻擊數都在攀升,因此,謝昀澤認為,台灣金融業只能持續的精進資安能力,沒有鬆懈的理由。

KPMG安侯數位智能風險顧問公司林大馗副總經理補充,KPMG的調查報告是使用非入侵式智慧型工具,在公開網路上進行作業。KPMG所使用蒐集情資的步驟,與駭客入侵所慣用的狙殺鍊架構 Kill Chain Framework)相似,都是挖掘、分析暴露於網路的公司情報,所以當數位足跡越多,網路防護通常有越大的危機。林大馗認為,相較常見的資安問卷或弱點掃描分析報告,KPMG的調查可以從「外部駭客的真實視角」,補足企業資安自我診斷的盲點。

林大馗解釋,台灣大企業資訊系統未及時修補弱點、流落太多數位足跡在外,是駭客有機可乘的兩大罪魁禍首。根據本調查,平均每四家大企業,就有一家在漏洞修補管理「抱鴨蛋」更是大企業的資安大破口。

林大馗也傳授企業可以大幅降低網路曝險,提高安全防護成績的「三多」密技。第一招:多元弱點情資蒐集,這包含來源要豐富(如:社群媒體、供比對的弱點資料庫等)、檢測弱點的範圍要廣(如:物聯網、雲端、IT、OT)。第二招:多因子驗證,防止不肖人士未經授權的連線,避免錯誤的資訊裸露於網路世界。第三招:多進行教育訓練,提升內部員工的資安意識,避免有心、無心的資訊洩漏(Information Disclosure)。

謝昀澤提醒,不只有COVID-19的病毒會變種,駭客所釋出的網路惡意病毒及攻擊手法也是日新月異。在「高頻寬、多連結、低延遲」的5G智慧世代來臨之際,企業需更加重視與強化資安,才不會讓駭客餐餐都有豐盛的佳餚,成為「高贖金、多被駭、低反應」的受駭企業。

© 2024 KPMG, a Taiwan partnership and a member firm of the KPMG global organization of independent member firms affiliated with KPMG International Limited, a private English company limited by guarantee. All rights reserved.

For more detail about the structure of the KPMG global organization please visit https://kpmg.com/governance.

與我們聯繫