圖/安碁資訊總經理吳乙南認為,發預警式簡訊就算盡到保護責任,這樣的企業心態還是太過被動。
疫情加速各個產業往智慧化發展的路徑上奔馳,但當資訊安全的腳步跟不上數位轉型的速度時,卻暴露出更多漏洞,讓駭客有機可乘;再加上ESG浪潮下,資訊安全也成為投資人評估企業能否永續經營的關鍵指標之一。全台最大資安公司安碁資訊總經理吳乙南提醒,在全球追求永續與智慧化的雙軸轉型浪潮下,落實資安布局才能體現真永續。
「您好,我們是OO購物平台,我們發現您的帳戶因為個資外洩的關係,遭到盜刷17筆重複消費,共14,000元,接下來會由發卡銀行致電給您,進行止付的手續,真的很抱歉,造成您的困擾,我們也會寄發一千元禮券作為賠償。」這樣的電話內容不少人都曾經聽過。
安碁資訊總經理吳乙南分享自身險遭詐騙的經驗,「詐騙集團分飾兩角,裝成互不相識的電商與銀行,且未涉及個人資料、轉帳、ATM等『關鍵字眼』,降低消費者心防,甚至還提出理賠優惠吸引消費者上鉤,一時不察,一般人真的很容易就上當!」
2022年,台灣人被詐騙金額上看60億元,詐騙猖獗正突顯企業營運上的資訊安全漏洞。電商平台在前端資安防護上出現破口,導致消費者個資外洩,最後遭殃的還是無辜的消費者。吳乙南觀察,目前大型連鎖企業或電商大多採用一封「預警式簡訊」或是「網站警語頁」來提醒消費者,但未能進一步說明將如何在前端落實資安防護,等於是把責任轉嫁到消費者身上,「這樣的心態還是太過被動!」
資訊安全危機 牽動企業ESG永續目標
如此輕忽的下場為何?根據美國主要交易市場之一的那斯達克旗下董事會卓越中心調查指出,2022年首兩季美國上市公司已經因為資訊安全的網路犯罪損失高達1.4兆美元,「資訊安全已經超越了法律合規問題,成為對市值、股東價值產生重大影響的環境、社會及治理(ESG)基準。」
此外,世界經濟論壇也提醒,「公司需要開始將網路安全作為其環境、社會和公司治理戰略的一部份,而不是依賴保險。」資安防護薄弱將導致企業的彈性與可持續性變差,換言之,將直接威脅到組織的永續運營。
反之,徹底落實資訊安全的公司則日漸獲得投資市場青睞,根據彭博社(Bloomberg)估計,2022年全球ESG資產規模可能突破41兆美元,顯示投資人對於ESG商品接受度越來越高;更有多家企業因為強化資安防護,在MSCI的ESG評等中躋身AA級的最高評等。
駭客攻擊再進化 「自動化」阻斷企業營運 資訊安全堪憂
不過,企業其實也是有苦難言。吳乙南坦言,「一個攻擊行動,企業必須進行三、四個對應步驟才能解決,駭客攻擊與企業資安防禦的力道根本不對等!」
以傳統的DDoS(分散式阻斷服務)攻擊為例,駭客一旦發動流量攻勢,攻擊公司的mail主機或應用程式主機,首先企業平常就要做好偵測工作,才能察覺到有流量攻擊正在進行,以致服務中斷,並找出攻擊端點;接著啟動流量清洗,才能回復正常運作。當前駭客的DDoS攻擊手法已經進化到全自動化,不用具有駭客專業知識,只要下載DDoS小工具,按下按鍵,就能進行攻擊,到了人人皆兵的境界,企業資訊安全受「駭」程度日益加劇!
化被動為主動 企業應落實資訊安全回應消費者
因此,深耕資訊安全領域多年,吳乙南從資安防護專家的角度提醒,中大型企業容易成為駭客目標,資安防護不能不做;但微型、小型企業也千萬不能因為公司規模較小,就漠視資安部署,反而應該認知小微型企業對駭客攻擊造成的災損耐受力低,更要做好資安。
他建議,微型、小型企業除了在基礎設備上做好防毒外,人員的資安教育訓練與設備的使用管理是兩大強化重點。中、大型企業應該從事前的資安管理制度導入、弱點掃瞄、滲透測試、攻擊演練等落實對核心智慧財產的保護,並進行日常監控才能第一時間掌握攻擊發生,以進行下一步的危機處理。
將資訊安全融入企業DNA 落實ESG永續治理
為什麼資安會與企業永續有關係?近在眼前的是,當駭客發動DDoS攻擊,將造成企業營運中斷,且資料難以回復的危機;長遠來說,客戶因為個資外洩,一再從特定平台接獲詐騙電話時,消費者信心流失,最後必然加速企業的凋敝。
隨著道瓊永續發展指數(DJSI)及國內外各種永續獎項,開始將資安管理納入評比項目,資訊安全儼然已成為投資人評估企業能否永續經營的關鍵指標之一。以台灣鄰近的東南亞市場中,新加坡有將近三成的公司開始將資安團隊視為公司落實ESG中不可或缺的一環。
吳乙南強調,資訊安全不僅攸關組織聲譽,更是一項重要資產,代表著企業的營運韌性與競爭力。但資訊安全牽涉甚廣、投資規模大,唯有從董事會層級開始重視及落實,讓資安成為策略、營運和文化的核心要素,才有機會實現企業永續經營的願景。