防駭悍將資安長

【羅之盈】

毋庸置疑，駭客已經變成一個新興產業，無差別攻擊大小企業、政府機關、銀行、廣告看板。甚至有此一說，物聯網是駭客圈Killer App（殺手級應用），因為萬物互聯，就代表萬物可被駭。

換言之，這場看不見的資訊安全大戰，代表攻擊的駭客們正步步進逼，而必須守住重要資訊的這一方卻節節敗退。光是在台灣，2022年網路威脅偵測數量就高達1460億項，年增55％的幅度讓人擔憂，企業或政府的資安能讓人放心嗎？

或許正因威脅升高與挑戰加劇，政府也規定所有的上市櫃公司，必須在今年內設立資安長（Chief Information Security Officer, CISO）。此外，資安長除了抗駭外，更肩負企業數位轉型二次加速重責大任。資安長，已是現代企業不可或缺的標準配備之一。

假若「駭客攻擊與相關網路犯罪」是一個「經濟體」的話，它的「GDP生產毛額」，僅低於美國、中國、歐盟，竟然是「世界第四大經濟體」！

根據國際資安調研機構Cybersecurity Ventures數據，2021年網絡犯罪在全球吸納6兆美元，「網路犯罪國的GDP」低於美國23兆美元、中國17.7兆美元、歐盟17兆美元，到了2025年，甚至可達10.5兆美元。

駭客無差別攻擊企業、機關 資安大戰守方節節敗退

趨勢科技數據顯示，2022年網路威脅偵測數量高達1460億項（表1），再創歷史新高，年增55％的幅度也創紀錄。

駭客透過無差別攻擊，散射所有產業的消費者和企業機構，造成攔截的惡意程式檔案數量暴增242％。

這場永不止歇的資安大戰，攻方正在攻城掠地，守方正在節節敗退！

根據國際調研機構Gartner預測，全球企業資安支出2023年高達1883億美元，龐大的資安防護費用，對應「網路犯罪國的GDP」高達6～10兆美元，顯得蒼白無力。

細部觀察台灣資安市場2022年692億元台幣、五年複合成長率約僅10％（表2），可見企業資安支出成長緩慢，過去多是觀望態度，或是遭受攻擊、進而淪陷後，才增強防護。

從台灣從不止歇的資安事件，可見一斑，近期舉凡總統府、國防部、桃園醫院等（表3）；金融業的台灣銀行、兆豐銀行﹔科技業的飛宏科技；車輛服務的Uber、iRent、格上租車；零售業的微風廣場等，受到攻擊的單位組織散布各行各業。

為了保護消費者權益，以及防止產業生產斷鏈，政府剛柔並濟，加速台灣整體防衛。

經濟部和財政部2022年7月首度釋出，資安費用抵稅申請，包括三年內企業購置的資安產品，不論是硬體、軟體、技術或技術服務，只要超過100萬元以上，10億元以下，都可申報3～5％減抵稅額。

同時，政府給予企業組織層面的規範。

2021年金管會明令上市櫃公司設立資安專責團隊，2022年底，已有113家大型企業第一批完成設立資訊安全長，2023年擴大施行企業的範疇，全面要求上市櫃公司跟進設立，共計有1367家在2023年底前，需要完成資安團隊建置。

企業CISO資安長（Chief Information Security Officer）大軍，正在集結聯防。

奇怪的是，資安議題並非新鮮議題，防衛技術也從未懈怠，為何近年愈演愈烈？

「網路攻擊在2018年後陡升，主要是數位轉型驅動之下，企業被攻擊的『介面』變多了」，趨勢科技總經理洪偉淦苦笑地說，「駭客圈有一個說法，『物聯網』是他們的Killer App（殺手級應用），因為萬物互聯，就代表萬物可被駭。」

洪偉淦指出，疫情趨動的遠距工作型態，讓企業內網外網邊界模糊，防衛變得複雜，更麻煩的是，台灣產業多是彼此相連的上下游，冗長的供應鏈，讓駭客只要找到一個破口，就可以循線往上又往下。

所以資安不再能自掃門前雪，所以迫使政府的介入，加速拉動產業聯防，人員部屬就是重要一環。

「其實企業現在大多有了資安意識，非常重視，也願意花錢，不過駭客攻擊的方式，變化太快了，」達文西個資暨高科技法律事務所所長葉奇鑫，曾為網路犯罪專組檢察官，參與草擬《刑法》第36章「妨害電腦使用罪章」。

他指出，檯面上看到的資安事件，常常是已經在內部爆了一次、二次，企業也都有清理與加強防護，「但現在的駭客技術可以潛伏，他研究你的系統，摸得比你還熟，埋了一層又一層，最後企業甚至得重寫架構才能清理乾淨」。

疫情掀起數位轉型大浪 資安長抗駭角色吃重

盤整資安攻防戰，企業防守比起過去更為困難（表4），再加上加密貨幣讓駭客更容易取財，驅動駭客技術日新月異，甚至駭客集團化、產業化。

數位發展部產業署副署長林俊秀表示，資安攻防戰愈打愈複雜，企業需要更多資源防衛，需要全盤戰略，這是經營管理層次的議題，政府不一定有能力做好，所以從「設立資安長」的規範，來拉動企業警覺。

不僅企業間有了明確的合作窗口，進而促成各式「資安長聯盟」，讓產業自行形成聯防陣列。

2017年10月國際大型駭客組織攻擊全球多家銀行，遠東商銀受到波及，駭客盜轉6000萬美元，雖然及時擋住，但也推動遠銀全盤調整防衛架構，調整幾百台主機的網路安全區，強化縱深與防衛的複合布局，並調整專責資安團隊。

遠東商銀資安長劉龍光表示，「我們很重視內部資安人才培育」，過去資安人員多數是來自IT資訊部門，但現在必須得「多元化」，資安人員需要理解內部產品與營運，才知道怎麼保護，讓營運不中斷。

遠銀資安專責團隊現有12位成員，來自業務、後勤、運營等單位，從不同視角建立制度，以及符合產業法規。「複合式內部選任形式」，提供其他企業資安人才缺口的解方。

2500名資安人才缺口，搶人大戰開打

從資安長設立規範來看，今年上市櫃公司1367家，都需要設立1～3人專責團隊，所以至少需要2500名資安人員。104人力銀行數據顯示，2021年資安人才需求相較5年前，成長2.5倍之多，搶人大戰早就上演。

再加上金管會規範「資安人員不得兼辦資訊業務」，讓企業數位人才調度，更顯捉襟見肘。

合勤科技資安長游政卿認同「分立」概念，曾為資訊長多年的他，直言資安如果不獨立，團隊就會權衡，是要IT的效率，還是要資訊的安全，「其實沒有一個可以做得好。這時候企業數位轉型的經驗，就非常重要，因為如果上一波數位轉型轉得好，企業文化已經被洗練過了一次。」

趨勢科技總經理洪偉淦認為，內部培養才是正途，因為不管在產業裡的人，或應屆畢業生，總數都太少了。

「有一種方法是資訊與資安定期輪調，」他表示，資安單位通常是訂定計畫，資訊團隊則負責執行，兩邊理解愈深，合作才能無間，因為沒設計好的流程、沒執行到位的斷點，都可能變成駭客攻擊的弱點。

2020年因為疫情掀起的數位轉型大浪，兩年之間讓企業資料與雲端作業變成日常，當重要資產上網之後，就需要替它們部屬足夠的安全防衛。

資安長設立是企業資訊自衛隊的隊長，也是數位轉型二次加速的起點。

安碁資訊吳乙南：我聽過林志玲，沒聽過「零資安」

「駭客攻擊手法，每一次都前所未有」，台灣資安專家、安碁資訊總經理吳乙南，感嘆駭客攻擊範圍以及帶來的損害，近年愈來愈大，「數位化、數位轉型、雲端，都提供一個駭客溫床。」

不過數位轉型是不可逆的趨勢，企業該如何擁有足夠的資安防衛、又兼顧數位化效率？

吳乙南表示，要先認清一個事實，那就是每個企業必定會有資安問題，因此「零資安、零攻破」是不可能的，就像要求空氣裡零病毒，同樣是不可能，「所以我都說，我聽過林志玲，但沒聽過『零資安』。」

但並不代表企業就得繳械躺平，最基本的防禦工事就是「投資」，而且是有策略、步驟的巧妙投資。

現代的資安防護，基本上已經不是單純的資訊技術議題，已經是「風險控制」議題，因為無法做到百分百防護，但可以減少災害損失。例如銀行裡最重要的是日常作業系統，還有ATM聯網與資訊，其他諸如外匯系統，就可往後放，企業需要先做資產盤查，再做衝擊分析，再安排資源進入。

安碁資訊於2003年開始執行國家級資安即時監控（Security Operation Center, SOC）專案，為國家資安會報建置最高規格SOC，已有20年功力。2017年後建立ISO17025實驗室認證的SOC自建數位鑑識中心，並取得國際認證，鑑識結果可在全球同樣通過ISO規範的各實驗室間，相互通報，面對跨國駭客戰役，又更為即時的攻擊情報。

【本文摘自遠見雜誌5月號；更多文章請上遠見雜誌官網：https://www.gvm.com.tw/】

看更多遠見雜誌文章：

獨家專訪／生產力專家克里斯．貝利：生產力不能靠AI，「平靜」才是正解

轉危為安變商機，合勤資安轉型達陣

台法仍友好？蔡適應曝馬克宏修正棄台風波祕辛