KPMG今(22)日發表【2022年臺灣企業資安曝險調查報告】,結果顯示台灣企業平均防護分數僅為C級(70~80分),分數與去年相同,代表具備一般技術的駭客就能入侵多數臺灣企業。
KPMG安侯數位智能風險顧問公司董事總經理謝昀澤提醒,從過去許多資安調查報告觀察到,台灣企業CEO普遍對組織的資安有著高於全球平均的信心。為了避免企業「自我感覺良好」,台灣企業所面臨的資安風險,也有著相似的「盲斷層」現象,因此期待這份報告能協助台灣企業找尋「盲斷層」突破盲點。
KPMG匯集多位資安專家調查包含台灣的六大產業,包括金融、半導體、電腦及周邊製造、電子商務、供應鏈核心及新創,經抽樣60家台灣企業進行分析,結果平均防護分數僅為C級,表示多數台灣企業,僅具備一般技術的駭客就能入侵。謝昀澤表示,2022年資安整體查結果,呈現「一好五壞」的現象,除了金融業表現尚佳,其餘產業皆與金融業有著明顯差距,尤其地緣政治風險導致供應鏈斷鏈可能性加劇的現在,涵蓋能源、原物料與運輸的供應鏈核心產業敬陪末座的表現,是各產業都需要關注的現象。
本次調查報告主要發現
1. 多數企業輕忽社群媒體所衍生的網路攻擊
2. 臺灣各產業資安人員能量均嚴重不足,企業資安人力亮警訊
3. 供應鏈核心產業亟需加強網路防護
4. 金融業網路防護表現仍最佳,但面臨高度挑戰
5. 導入並驗證資安國際標準,將顯著降低資安曝險
多數企業輕忽社群媒體所衍生的網路攻擊 金融業社群風險極高
謝昀澤指出,企業員工社群媒體的巨量使用,所曝露出的社交工程攻擊風險,是眼前最重要的問題,員工不經意的在個人社群上,所留下的商務電子郵件等相關資訊,都可能引發駭客攻擊的啟動點。謝昀澤也提到本調查意外地發現六大產業中平均分數最低之產業屬金融業,平均僅得14.14 分。由於金融業大量透過社交媒體來發布其最新資訊,像是新興金融服務、最新理財商品、更新的金融相關政策與徵才資訊等等,而上述這些公告資訊皆需留下公務聯絡訊息。因此,金融業須特別謹慎運用社群媒體,並提供員工相對應的資訊安全教育訓練,以提升員工資安意識,改善社群媒體曝險情形。
臺灣各產業資安人員能量均嚴重不足,企業資安人力亮警訊
而企業資安人力不足的問題,則是臺灣企業共同的隱憂,謝昀澤舉例,沒有能力與人力適當管理與維護的防火牆,與豪宅社區人人可以進入的公共開放空間無異。企業資安需要轉型,而轉型不只是需要「工具驅動」、也要「專業與人力驅動」。因此,既然對外招募不易,企業可考量透過適當的資安教育訓練培訓內部員工,藉以加強員工資安意識、第一線資安事件通報與危機處理人員的能力。
然而近一步探究表現較佳的兩產業則屬金融業及電子商務,謝昀澤分析,近年金融業主管機關針對資安長的設立標準,除了銀行業者外,達到一定條件與規模的保險公司、證券商、期貨商與投顧業,以及大型或從事電子商務之上市櫃公司也都必須設立資安長及配置適當數量之資訊安全員及設備,並明定將資安管理、事件影響與因應納入公司年度報告。因此他呼籲企業皆應考量自身規模與資源,設立資安長與專屬資安團隊,藉此正視企業整體的資安威脅與數位風險,讓產業生態圈資安防護更加完善。
供應鏈核心產業亟需加強網路防護
調查發現原物料、運輸等這類供應鏈核心產業資安實力參差不齊、落差極大,且超過60% 的受調企業分數位居C 級以下,謝昀澤表示,供應鏈核心產業中的企業通常歷史較為悠久,在傳統觀念的長期洗禮下,也較難接受流程大規模改動與快速深植資安意識。他建議可採取補償性控制措施,針對資訊資產的不足或缺陷,額外補充安全控制措施或強化安全控制措施,另外組織也應透過適當縱深防禦架構,保護重要資訊資產,像是透過建立定期清查帳戶權限、軟體清查與更新的流程做好內部存取控制,藉此顯著提升資安防護。
KPMG安侯數位智能風險顧問公司副總經理林大馗指出,KPMG調查是使用非入侵式智慧型工具廣泛蒐集情資、模擬駭客慣用的挖掘與分析情報。林大馗進一步表示,依據近幾年協助客戶處理駭客入侵的資安事件顯示,高達七成的企業客戶無法掌握由潛在系統漏洞所堆積的「資安盲斷層」。而即使在遭受駭客突襲後顯露弱點與缺陷,亦未能從中即時補強,讓撼動企業的「資安地震」重複發生。因此建議,各產業可參考本年度資安曝險報告,洞悉本身的資安體質,提升資安控管和強化自身防護能力,以免遭駭客入侵,進而影響整個臺灣產業及供應鏈網路。
KPMG《2022臺灣企業資安曝險大調查》
2022 KPMG臺灣企業資安曝險大調查,提供以臺灣本土企業為主體的網路安全曝險實況。近年來,NTF、De-Fi 乃至加密貨幣等新興科技,顛覆全球對金錢與投資的想像。然而,國際間對創新應用的不熟悉,成為駭客能趁虛而入的途徑,導致業界之資安事件頻傳。無獨有偶,我國更因台海局勢升溫,資安事件層出不窮。為了進一步剖析與瞭解臺灣企業目前的數位曝險狀態,KPMG 透過智慧工具著手蒐集有關臺灣指標企業針對網路安全環境的資料,包含 2022 年重點產業及組織網路曝險的現況與趨勢,彙整並製作成此份調查。同時KPMG於本調查也提出我們的觀點與建議,俾協助企業更密切關注組織內部的資安管理政策,同時制定因應策略。在數位發展多變的世界中,我們期盼給予企業協助,一起更有自信且可靠地應用各種智慧科技、降低科技風險、保護企業資產,提升臺灣企業整體的競爭優勢。
林大馗
KPMG安侯數位智能風險顧問公司副總經理
E:tonilin@kpmg.com.tw
T:(02) 8101 6666 #15320