有別於金融市場漲跌等「擺在眼前」的風險,資安問題往往是台灣企業自以為相對較安全的風險管理區塊,且在斥資購進相關硬體設備,將「築高牆、挖護城河」的大任交付資訊部門(IT)後,就認為應可高枕無憂。問題是,網路社會當真如此太平?當然不是!諸如2013年美國大型零售業者達吉特公司(Target)的支付系統遭駭,造成高達4,000萬筆信用卡、簽帳卡資料外洩,最後雖以賠償3,936萬美元,與銀行、信用卡組織發起的集體訴訟代表達成和解,但遭重創的形象已難完全恢復舊觀;又或是台灣繼2016年7月第一銀行ATM遭駭事件後,2017年10月遠東商銀遭駭客入侵,偽造匯款電文盜轉18億新台幣到海外,讓人意外本應安全無虞的國際匯款系統也會遭駭。至於各種個資被竊、信用卡遭盜刷的案例,更是多不勝數。
難怪今年1月17日於瑞士達沃斯召開的世界經濟論壇所公布的《2018年全球風險報告》,與資安風險有關的網路攻擊、資料詐騙/盜竊便占了前五大風險之二,形同向全球企業及政府發出強烈警告。尤其是隨著行動裝置普及,與雲端計算、大數據分析、物聯網和人工智慧等數位科技在商業和社會領域的應用愈來愈多,不斷增加企業系統對外開放的一切串聯性和方便性,令防範網路威脅與資料詐騙/盜竊的重要性,已達到史無前例的高度。
然而,或許是台灣企業多為中小企業規模,對於資安風險所帶來的衝擊,往往「想像力有限」或抱持僥倖心態。
其實,當前企業面臨的資安風險並不限於單一公司內部資訊系統,還包括客戶、供應商及合作夥伴等產業供應鏈上的相關資訊,都可能遭到網路攻擊、資料詐騙/盜竊,且要面臨隨之而來的聲譽受損、業務中斷、經營成本增加和法律訴訟紛擾等。例如購物網站會員個資、支付金流資料、外包廠商握有的上游業者商業機密等未妥善管理,導致資訊外洩,一如美國Target的慘痛教訓。
在這個萬物皆連網,釀出萬物皆可駭的風險下,築高牆、挖護城河的老舊資安風險管理思維與方式,早已難稱安全,一銀與遠銀遭駭事件就是例證。
所以,台灣企業必須持續強化預防與保護的安全措施(Security)之外,亦應有事發後,如何在最短時間內復原(Resilience),並可繼續營運,以減少衝擊的準備,也就是要有預防與保護、快速復原雙管齊下的新思維。同時,企業也應體認到資安風險防護已不僅是IT或風管等單一部門的責任,而是上至董事會,下至各管理階層及員工的職責。
具體而言,在強化預防與保護方面,企業要對內部進行整體的資訊安全風險評估,先釐清那些資料和資訊系統、業務流程對企業營收與營運最為重要,以及其遭駭的風險高低,再依據評估後的相關風險高低,考量投入的相對成本與強化既有資訊系統的防護能力,才能有效地掌握可能受駭的風險。採購相關資安產品時,也應考量使用人權責、使用時機、產生報表的判讀性,以及異常數據發生後的改進措施,將這些資安制度與工具相結合,進而發揮資安預防與保護的最大功效。
再就最短時間復原的角度來看,企業必須建立資訊安全的應變計畫,使相關人員皆熟知資安事故發生時,該如何進行初步判定與處理,並通報董事會與組織內相關主管與人員以進行損害控制。
同時,也要有效與客戶或大眾溝通,避免企業形象受損,甚至延請公正的資安鑑識團隊協助調查,或請律師擬定必要的訴訟策略。
如此一來,才能打造出事前預防與保護、事發當下備妥應變的計畫,以及事後迅速調查與搜證,並提起訴追處理以捍衛商譽等全方位的資安風險管理,讓企業能在現今充滿資安威脅的環境下,更好地避開風險,穩健地永續經營。
沒有留言:
張貼留言