(資料來源:Kaspersky)
資安事件層出不窮,帶動相關投資大幅成長
政府與企業在推動大量數位轉型時替駭客帶來絕佳入侵機會,當前資安事件層出不窮,如近來微軟臉書遭駭、英軍的YouTube/Twitter被入侵、中國10億個資外洩等,攻擊範圍越來越大,手段也日趨複雜。一份調研指出,2020年開始起網路攻擊數量持續上升,2021年末創下歷史新高,全球每間機構每週平均遭受925次網路攻擊,教育與研究機構成為網路攻擊重災區,研究機構遭竊取的風險大幅提升,學校機構每週平均遭受1,605次攻擊,較2020年增長75%;兒企業使用大量物聯網、雲端等科技,也成為駭客重大攻擊目標。2022年絕非網攻元年,但肯定是企業大舉投入資安技術投資的一年,根據資安機構pullsbury調查,截至2026年,資安軟體投資之年複合成長率高達26%,約460億美元。
相關技術琳瑯滿目,企業預算投入隨著成長
不過,若換個角度來看,也許每個企業都應該嘗試了解未來受網路攻擊面的成長速度將比過去來得多,導入大量的企業軟體與API可能讓駭客一次能竊取多部門的資料。因此,企業在資安投資項目上也日趨多元化,例如端點安全、資安稽核/認證、滲透測試、應用程式安全、行動程式安全等,除了相關技術外,人員是否具備資安意識也相當關鍵,教育訓練、強化內部權限與存取控管、源碼檢測可是一樣都不能漏。同時,當前企業因供應鏈分散各國,是否能在受攻擊時具備異地備援能力也成為衡量一家公司是否具備「資安韌性」的重要指標,所謂的異地備援,指的是「組織在其他地點備份重要的資料、伺服器以及工作機能等,避免因火災、水災、遭竊等災難造成重要資料損失與工作、服務中斷」等挑戰。
全球資安市場成長幅度大幅提高(資料來源:CISION)
資安險需求大幅提升,接連帶動保險公司出險風險
從全球資安險投保狀況也可略知一二,一項調查指出,全球資安險支出預計將從 2022 年的 124.7 億美元增長到 2030 年的 371.4 億美元,年複合成長率達 21.8%;顧問公司麥肯錫公司也預測, 2022 年至 2025 年資安險的年複合成長率為 21%。數位優先的商業模式和營運流程數位化的需求提高,加上勒索軟體攻擊的指數級增長,促使企業在資安險上投入更多資金。另一方面,保險公司逐漸反對支付贖金(出險),理由是網絡攻擊者故意針對他們最大的客戶進行攻擊,使保險公司也損失慘重,全球許多龍頭保險公司正在思考對策,但目前較無斬獲。事實上,這對保險業者而言也不見得是壞事,由於眾多保險業者長期習慣於穩定金流金入,而資安顯得風險時時刻刻皆在變化,保險業者也因此有更大動機調整自身產品組合。
管理階層對資安認知的建立相當重要
除了相關投資外,企業管理階層是否具備相關領域知識,長期而言對於企業建立資安韌性也有所幫助,哈佛商業評論(Harvard Business Review,HBR)指出,除中高階主管外,董事會也需要明白資安議題的重要性。美國國家標準與技術研究院(National Institute of Standards and Technology,NIST)所提出的「NIST網路安全架構」,除控制器安裝、技術防護措施等執行面的細節外,其辨識、保護、偵測、回應與恢復等五大架構,對董事會而言即是瞭解網路韌性的方法;所以資安並非僅是部門問題,還是組織營運的議題。部分國際業者甚至將資安列為組織文化的一環,無論是由上而下傳遞,或是從部門員工往上反應,建立資安意識往往是關鍵的第一步。
而資安人才的培育與招募也是當前企業在資安策略佈局的重點,由於資安人才相當稀少,許多大型業者紛紛自行培育,在實際職能規劃上,除程式開發及偵測、作業系統操作,以及管理等共通職能外,也應導入專業職能,如資安鑑識與處理、資安事件分析處理、入侵偵測與滲透測試、惡意程式檢測及分析,威脅情資搜集等,而專業職能中,也應加入策略性質的駭客攻防、企業資安策略規劃、企業暨國防安全相關應用等,由於資安議題複雜度相當高,要應對相關危機,一來既需要執行面的人才,也具備將資安提升至國安高度的策略人才,這樣的分類較為務實,而不同的產、學、研機構也能按照自身需求進行職能客製化,培養公司整體的資安人才。