作者:資策會產業情報研究所所長 詹文男
這幾年國內資訊安全事件頻傳,不僅金融機構遭到駭客攻擊,許多公司的客戶資料也傳出洩漏的問題。事實上不僅是國內有這樣的挑戰,國際性的公司也面臨同樣的難題。以網路公司雅虎為例,該公司前幾年曾遭到嚴重的駭客攻擊,5億用戶資料遭竊。失竊的資料包括用戶姓名、電郵地址、出生日期、加密的通行密碼,以及安全問答。這些資料可能協助駭客侵入受害者的其他網路帳戶。這次攻擊據信是歷來最大規模的網路入侵案。
基本上,在網路環境日趨普及的同時,全球資安事件發生的頻率與受損的金額也不斷的在攀高。國內一項有關資安的調查指出,台灣有高達80%的中大型企業曾發生過資安事件,甚至有20%的企業發生數十次以上的資安事件。儘管資安事件或大或小,但這個數據反映出了資安事件不再是偶然發生的事件,已成了所有企業需要時刻面對的經常性挑戰。
不過,雖然資安事件頻傳,但台灣企業在面對資安投資時,仍多從效益成本面考量,常抱著無事則無視,出事急就章的心態。尤其,不論是臺灣企業或國外企業,一旦發生事故,多半不願意張揚,尤其是企業內發生資安事件造成損失,除非法規要求,否則企業會想辦法秘而不宣,免得影響企業聲譽,更讓駭客為所欲為。
而從未來科技趨勢的發展來觀察,資訊安全的問題只會愈來愈嚴重,絕對需要產業與政府賦予相對的重視與資源投入。舉例來說,企業導入雲端運算技術的比例逐年提升,大部分企業多採取跨雲端平台模式,其中採用混合雲策略佔了近五成,對於從各方面來的可能外部侵入,以及內部控管,如使用者身分與存取管理等方面都需要進一步強化;
又如,各類行動裝置,包括手機及平板電腦使用日增,這些裝置內建眾多軟體,雖有其方便之利,但在不能保證所有軟體都是原版的時候,卻也潛藏著資安的危機;尤其這幾年,行動商務成為顯學,企業大量提供各式APP的應用,惟來源管控鬆散,員工若安裝免費、來路不明的APP程式,可能遭植入惡意程式而不自知,也已成為企業資安的隱憂。
而政府現在力推物聯網應用,隨著企業內各式的傳感裝置、控制系統以及製造設備等工業控制系統相繼連接至工廠的資訊環境後,企業其資訊網路環境正面臨來自各環節的安全威脅。亦即當工廠物物相聯之後,如何確保所有的環節都能不受到未受核可存取的威脅及破壞是運作安全的關鍵;而當工業聯網裝置搭配傳送大量的即時資訊,如何避免資料傳輸遭到不明的攔截與解讀,也是物聯網資安需要考量的面向。
最後,不僅企業需要面對資安的挑戰,在現代社會所有政府治理、民眾日常生活,甚至國防安全皆高度依賴資訊科技系統的狀況下,這些系統不僅應受到高度的重視與防護,而發生災害後如何迅速恢復營運,也應有必要的佈署與準備。以金融體系為例,一旦當機停擺,輕則無法進行如信用查訊、跨行交易、證券買賣及結算,衝擊企業營運及民眾權益,重則影響國家經濟及社會秩序;又如醫療衛生體系,其為維護民眾健康的第一道防線,若被破壞或無法立即恢復運作,勢將影響人民生命安全;
不過,危機也是轉機,各國公私部門近年來均面臨嚴重的資安威脅,強化資訊安全已成為全球各國政府及各類企業眾所關注的新興課題。政府當然責無旁貸,應從各層面檢視內在的弱點以做必要的部署預防,企業也應投入必要的資源以提升整體防護能力。而產業若能藉此機會發展未來物聯網時代所需的各類資訊安全的相關產品與服務,透過滿足本地需求,解決以增加試煉機會,未來也有機會進軍國際市場。
這些機會包括:1.雲端化的產品:企業雲端應用滲透率漸高,大企業自有雲端安全需求;對缺乏資源的中小企業而言,租賃模式的雲端化資安產品也值得期待。2.系統整合的需求:資訊安全威脅的演進從單一型態攻擊轉向複合式攻擊,企業雖陸續購置與布建各式資訊安全的軟硬體產品,但防護方式卻未能對等因應,相關資安應用整合需求浮現。3法規的遵循:觀諸歐美各國近年來在資安市場最重要的成長驅動要素,即為資安相關法規的遵循,各國公私部門近年均面臨嚴重資安威脅,強化各領域資安規範已成常態,將有助整體市場增長與發展。4.工業4.0積極推動:全球積極邁向工業4.0同時,台灣亦有生產力4.0因應,可同時考量相關資安議題,以引領本地市場的需求創造。在這方面,業者可藉此機會發展物聯網資安相關產品與服務,透過滿足本地需求以增加試煉機會,進而穩健走向國際市場。