Top

SNS

  • Facebook
  • 使用messenger傳訊給MAonline
產業掃描
拒絕網路攻擊與勒索病毒 企業CEO 應該具備的資安觀念與態度
2021.07.12∣瀏覽數:365

拒絕網路攻擊與勒索病毒


企業CEO 應該具備的資安觀念與態度


中華民國資訊軟體協會理事暨資安促進會會長/數聯資安總經理 郭憲誌

近年來,企業遭受網路攻擊與勒索病毒事件頻傳,為杜絕駭客惡意攻擊,企業應具備正 確的資安觀念與態度,然而根據CIO調查結果顯示,企業對於資安的重視程度仍有相當大的成長空間,且多數CEO著重於提升企業效率與降低成本,但其實並不一定花大錢才能夠做好資安,若能正確建立對於企業資安的戰略層級思維,便能降低網路攻擊與勒索病毒發生的風險!

多數企業CEO其實並不重視資安


今日應該鮮少有企業的運作能夠脫離對網路及資訊系統的依賴,但是又有多少企業的經營者對於網路與資訊安全有充足的認識與瞭解呢?
根據最近一期的CIO大調查(Y2020~2021),企業的CIO直接向CEO報告的比例從過去的45%上升至70.9%,這雖然代表著企業對IT部門的重視程度正在提高,但卻不等同於資訊安全的問題已得到應有重視。
因為同一份CIO大調查報告也顯示出企業的IT預算,最主要還是花在基礎架構的採購,包括:伺服器、雲端服務、儲存設備、 及網路設備仍佔據企業IT預算的前四項主要支出,即使報告中「增加資安投資」已進入排名內,但實際的預算支出規模仍遠遠落在後面。

CEO關心的是提高效率&降低成本

我不禁好奇的想問:為什麼CIO可以不直接報告給CEO?如同大家的理解、網路與資訊系 統對於多數企業的重要性是毋庸置疑的,但是仍有高達三成的CEO不會直接參與及瞭解IT相關的事務,更遑論CEO能夠體會到資訊安全的重要性及應有的投資比重。
在許多企業CEO的思維中,IT就是一個後勤的服務提供單位、簡而言之就是一個很花錢、但又不能沒有的部門;因此、每當IT部門提出預算要求時CEO總是會質疑:這些錢現在一定要花嗎?花了這些錢之後可以提升 多少產值啊?導致CIO們對企業IT的投資也會隨之以「提高效率」或「降低成本」作為主要訴求,這也就形成了今天多數企業「明知資安很重要、但花錢時卻變得沒有那麼必要!」的奇怪現象。

不是花大錢才能做好資安

多數是因為CEO不關心與不瞭解網路與資訊系統,所以也很難理解為什麼當網路及資訊系統出現安全的問題,會影響企業的運作、甚至是讓企業經營因此陷入危機。
更因為如此,多數的企業有IT部門、卻未必有專責的資訊安全人員,更普遍的情況是CIO兼任著企業的CSO(Chief Security Officer),但是實務上而言、如前述CIO關心的是如何使資訊系統的運作更有效率、及如 何降低的成本,但CSO應該關注的卻是:如何讓企業免於曝露在網路攻擊與資訊系統被入侵的安全風險之下,其範疇並非僅是資訊系統的效能、更重要的是安全,其中還包括了企業內部的流程管理、內部稽核與控制系統、個人資料保護等等。這兩者的角色功能看似雷同、但卻是彼此互斥,甚至有類似球員與裁判般的衝突,而當兩者角色重疊、也就成為許多企業最終很難將資安落實做好的原因之一。
事實上用IT的觀點做資安工作,確實比較容易陷入「資安就是要花大錢」的迷思,原因就是:傳統資訊系的建置以硬體加軟體採購為主,但是資安真正的核心卻是「服務」!因為網路攻擊與駭客行為是不斷地在改變,沒有哪一套硬體設備或是軟體可以保證絕對不會被攻破、萬無一失!重要的是如何讓企業的資安防護措施,持續保持在最 能因應當下變化的狀態,但企業的IT購買硬體、購買軟體就是要附贈服務,這服務真的是專業的嗎?
我看過許多案例:企業花大錢買昂貴的防火牆系統,但內部的IT人員卻不具備調校防火牆「關聯規則」的能力,供應商也不是資安 專業的廠商,只是價格最有優勢的代理或SI廠商,因此,從購入設備的第一天到最後這個設備被淘汰更新,能夠讓它發揮作用的最重要關鍵設定就是停在出廠值,從未被動過!甚至更多情況是設備早就已經「終止服務」(End of Service)或是國外原廠已經退出台灣市場了(或是被其他公司併購)這個設備都仍裝在裡,所以、設備未必真正發揮應有的功能,購置這個就是買一心安而已。

企業資安需要的是戰略層級的思維 (Strategic Thinking)

相信企業的領導者都清楚知道幾個常見的商業運作準則,例如:貨物交付海運或空運必然會依據其價值辦理保險,顯而易見的就是運輸過程的風險必須有所保障;又例如:保險公司承接醫療或是人壽保險,會根據被保險人的年齡、健康狀況,甚至是必須先提供當下的健康檢查報告,才能夠依據其結果判斷是否核保以及可以投保的理賠金額,其目的也是要在風險可控的狀況下做生意。
從這些常見的商業運作準則所展現的避險觀念不難理解,企業的經營其實就是一個不斷面臨挑戰和冒險突圍的過程,而企業要能夠永續經營,需要的正是能夠在過程中不斷地克服困難及規避風險,然而現今已是萬物聯網的時代,企業已不再因產業類別而有所差異,幾乎所有的產業都無法避免的與無線網路或資訊化工具有著密切的連結,而關鍵重要的生產工具與環境,卻充滿著不可控的風險因素,作為企業的經營者怎麼能夠視而不見?又怎麼能不積極地管理這些風險呢? 因此,CEO對資安至少應有下列幾項策略層級的認識:

遭受網路資訊安全威脅不再是政府、金融、能源等等關鍵基礎機構的專利!
近年來已經有大量的半導體、電子及3C產品生產、傳統製造業、服務業等遭受到攻擊和勒索,即便遭到攻擊的企業都宣稱具有極為完備的資安防護措施,但仍無法倖免於難。

網路資訊安全並非必然是一般IT人員的專業!
即使是學資訊工程的專業也未必是真的懂「網路資訊安全」,在資訊工程的領域如同醫學系也有內、外科,婦產科、心臟科…等等不 同的專業一樣,千萬不要再要求原有的IT必須兼職做資安的工作了,想像一下:你敢請一位牙醫幫你動心血管手術嗎?請委由專業、專責的資安人員協助企業做好資安工作。

網路資訊安全不是築一道防火牆就可以高枕無憂!
不要再用購置生財器具的觀念來做資安了!因為網路資訊安全是一場不斷在變化的戰爭,就像是企業在市場上與競業不斷地相互競爭一樣,我們必須不斷的提防競爭對手攻進我們的市場搶走客戶,企業不可能一成不變,或是購置一套機器生產之後,就可以不必再做任何創新、甚至從此不需再做研發新產品的工作;同樣的道理、駭客會不斷地透過不同的方式企圖滲透進入企業,或是企業內鬼會惡意的外洩公司機密或客戶個資,這些都是企業必須面對的網路資訊安全挑戰,無法用單一手段就能解決的問題,因此,網路資訊安全的工作必須是一個長期的企業政策。


網路資訊安全必須提升至公司治理的層級!
從企業經營的角度而言,網路資訊安全影響的不僅是公司的營運效能,更有可能對企業的重大利益、聲譽、持續營運等等產生極大的影響,所以企業不應再將資安視為資訊部門的一部分,而應該將層級提升,並由公司領導決策層級制定資安的政策框架,避免基層執行者因權限不足或無法擔負如此巨大的責任,而保守以對或是裹足不前,反而致使企業低估網路資訊安全風險,或是因缺乏可遵行的政策而徒增內部溝通的流程,導致無法及時有效反應資安相關危機。

網路資訊安全真正的挑戰是政策的落實!
再怎麼昂貴的硬體保護、再強大的軟體功能,都抵擋不住一個人為的疏漏,就如同資安業界最常聊到的一個笑話:當發生資安事件的第一動作就是檢查老闆的電腦,因為唯一的例外與破口最常發生在那裡!坦白說,網路資訊安全不必然是花大錢才能做好,但捨不得花錢當然不容易做到完善,可是相較於預算的投入規模,對於資安影響更大的是公司高層的態度,因為要做好資安就必須有「不厭其煩」的管控措施,包括:電腦設備存取的限制、相關設備的密碼管理、外部聯網的控管…等等,當企業從上到下都有正確的觀念、能確實遵守應有的規範,企業的網路資訊安全一定可以達到一定的安全水準。

CEO決定了企業的資安健康指數

企業領導人切勿因為不是資訊專業背景而無視資安的重要!因為正如大家所預期無線 網路的發展將會更加迅速,今日已是5G聯網爆發成長的世代,應用服務也將從實體的 資訊系統(On private IT)快速遷移到雲端(Cloud),在這些環境與技術的變革過程中,一直沒有改變的就是應該要如何確保系統與資料的安全,只是過去缺乏迅速方便的網路環境,所以即使有風險,病毒仍無法快速深入與擴散,企業有足夠的時間防禦與圍堵,但現在的網路環境變得更快、更方便,