在數據科技(Data Technology)年代,數據不只是企業最寶貴的資產,也是駭客眼中最值錢的生財工具,也因此近年來的資安攻擊事件越來越多,規模也越來越大。
資安風險最高的時代!近年大型資安攻擊數不勝數
舉例來說,晶圓廠龍頭台積電素來與資安新聞絕緣,但是在 8 月 3 日卻爆發晶圓廠生產機台因為電腦中毒,導致部分產線停擺,雖然事發後,台積電緊急動員上百名資安工程師清除病毒,卻仍舊讓產線停工了一天半左右,估計約新台幤52億元的損失。
根據台積電的說法,此次中毒事件是因為,新機台在安裝軟體的過程中操作失誤,也就是協力廠商或是台積電員工,未按照裝機 SOP 程序進行病毒掃描,使得病毒潛伏於全新的機台系統中,藉機進入台積電內部網路進行大規模擴散、感染,最終導致產機停工。
此外,2016 年在台灣喧騰一時的第一銀行 ATM 盜領案,主謀的駭客集團首領在今年初於西班牙落網,相關的犯案工具與手法也跟著曝光。
根據歐洲刑警組織(Europol)調查,該集團從 2013 年開始從事金融犯罪,透過 Carbanak 與 Cobalt 等兩款惡意程式攻擊全球逾 40 個國家的金融組織,首先駭客會發送釣魚郵件給銀行內部員工,當員工開啟郵件下載附檔或點選網址連結,惡意程式就會跟著被植入電腦中,駭客便能藉機入侵銀行的內部網路,同時感染控制ATM的伺服器,取得讓 ATM 自動吐鈔所需的資訊,藉由這樣的攻擊手法,該集團成功地謀取非法利益,造成全球金融業將近 10 億歐元(約 368 億元新台幣)的損失。
除此之外,2016 年亦有惡名昭彰的病毒入侵世界 55 萬個 IoT 節點,進行無差別 DDoS 攻擊,並利用了被病毒感染的設備協同進行攻擊,又或者是讓人印象深刻的 Wannacry 病毒攻擊,對沒有及時更新電腦習慣的台灣中小企業造成嚴重打擊。
從上述資安事件來看,就算企業規模大如台積電、第一銀行,擁有上百名資安工程師與各式資安防護解決方案,也依然無法做到零風險,而企業員工、中小企業主的資安知識缺乏,更會讓公司遭到超乎預期的資安損失,如何找出現有資安防禦漏洞,據此規劃適當的資安架構及作業流程(SOP),將是企業資安升級的當務之急,
加強資安是時代所趨,沒有企業能避免
日前,國內三讀通過了《資通安全管理法》,規範國內特定基礎設施提供商要做好資安應變,若是發生資安事件未通報,最高可罰至台幣 500 萬元罰鍰,可以解讀成政府透過立法,希望全面提升台灣企業整體資安意識,但如何提升企業自身的資安防護?這其實是個困難的命題。
綜合今年各大國際資安報告的內容來看,資安防護解決方案部署的種類或數據,與資安水準高低不一定是正向關係,換句話說,企業部署的資安解決方案越多,不代表資安水準越高。
企業資安水平的檢視,需要從更多面向去看,不是數數看已經導入幾個資安解決方案這麼簡單,必須從現行業務流程、IT架構、內部是否具備資安人才、員工資安意識、企業領導人對於資安的正確認知等面向進行綜合評估,確認好目前的資安防禦水平後,再根據不足之處,導入適當的資安解決方案,才能真正強化資安防禦能力。
不過,企業在檢視自我資安水平時,除了由內部稽核或資安人員來進行,最好還能尋求第三方機構的協助,才能找出自身看不見的盲點,因此中華民國資訊軟體協會(以下簡稱軟協)受經濟部工業局委託,提供產業資訊安全檢測診斷服務。
產業資訊安全檢測診斷,政府出錢幫你找出資安缺失
軟協表示,經濟部工業局為了落實「資安即國安」概念,於 107 年「新興資安產業生態系推動計畫」中開出 40 個補助名額,大力推動產業資訊安全檢測診斷服務。
目前,這項計畫將提供「資訊安全風險現況評估」、「主機弱點掃瞄」、「資訊設備組態基準」、「網路封包側錄分析」等 4 項專業檢測服務,且將會開出非常優渥的補助,讓企業主可以不需要擔心價格,透過檢測確認自身企業資安體質。
針對此項計畫,軟協目前將企業分為 A(101 IP 以上~200 IP 以內)、B(20 IP以上~100 IP以內)兩型,針對 A 型提供 14 萬的檢測計畫,但政府補助其中 10 萬,企業只需自行負擔 4 萬元,而 B 型企業則是 9 萬元,其中 8 萬由政府補助,企業只需自行負擔 1 萬元!
軟協這項計畫,幫助了台灣企業掌握自身的資安防護現況,並了解如何強化、改善及建立預防措施,全面協助台灣企業進行資安升級。若有相關需求的企業請參閱以下的申請須知及申請書。
申請須知:下載連結
申請書:下載連結
資安防禦從「人」開始,定期教育訓練才能深耕資安意識
除了對現有的資安防護進行全面檢測,企業若想進一步強化資安能量,還可以從「人」做起。
包括企業CEO、各級主管、甚至員工,都應該定時進行資安相關教育訓練,瞭解最新的資安攻擊手法或防禦知識,例如:軟協即將在 9 月份舉辦工業控制系統資安防護研討會,協助企業瞭解關鍵基礎設施的潛在風險及防禦之道,唯有不間斷地學習,才能讓企業內部從下到上所有員工,人人都具備資安意識,在開啟電子郵件的附檔或網址連結時,能夠多一份警覺心,減一分惡意程式入侵的機會。
此外,企業也必須加強資安人才的相關培訓,讓他們學習最新的防護技術,瞭解駭客如何思考、如何攻擊,像軟協即將在 9~10 月舉辦年度「新興資安產業生態系計畫」:資安專業人才培育,包含:資安攻防與監控、資安法規與制度研析,工控系統資安防護等實務課程,協助企業資安人才培養駭客思維,間接完成企業資安防護的升級,畢竟知己知彼、百戰百勝,才是資安攻防裡亙古不變的道理。
更多資安培訓活動
(經濟部工業局廣告)
–
資安防護,最重要的事
為什麼所有大企業都在強化「隱私條款」?因為資安攻擊一年可以毀掉台灣 5% GDP
台灣企業大調查:逾六成金融業今年急需資安人才,大家快應徵啦!
踏入資安界懶人包!從重要關鍵字到在地社群,刷過一輪才能跨過入門磚
(本文開放合作夥伴轉載)
