2018年3月，Facebook因泄漏使用者信息造成全球對資安保護的重視，究其原因為劍橋分析被檢舉從2014年開始，透過Facebook平台搜集使用者信息，用於操控2016總統大選、英國脫歐選舉，使用大數據來改變用戶行為。不論在企業用戶亦或是消費者，未來對於資安保護將越趨嚴格。

2018年5月，歐盟頒布史上最嚴資料保護條例「通用資料保護條例」(General Data Protection Regulation，GDPR)，對產業影響重大，其將資料安全提升至議事日程，從研發、設計、安全防禦等方面，尤其每個企業需要保護的數位資產非常多。

換言之，GDPR對信息安全產業有促進作用，未來在數位安全、終端安全、雲安全、行動安全、反欺詐與身份認證等，將是各企業重視的一塊。

網路犯罪層出不窮，企業內部需強化資安意識

目前企業資安面臨風險，包括員工缺乏資安意識、釣魚郵件、惡意程序與勒索軟體等，近年來黑客攻擊日益嚴重，挖礦、間諜程序及各式網路攻擊難防，造成企業營運成本增加、商譽受損等損失。

其中網路攻擊型態已開始產生轉變，過去黑客多破壞與炫技，近期則轉向追求利益為主的攻擊，以WannaCry為例，透過勒索病毒惡意軟體不斷滋長蔓延，新型變種不斷演進，大量資料被鎖定加密，使得企業內應用系統和資料庫、檔案加密後，造成無法正常工作，影響龐大。

不過比勒索軟體更危險的是商業電子郵件詐騙(Business Email Compromise，BEC)，已被各界視為2018年網路犯罪主流之一，目標多以企業主管、財務為主，通常只要入侵電子郵件、竄改文件，多能讓企業不疑有他，並主動匯款至詐騙用賬戶。

根據統計，2017年全球遭受變臉詐騙攻擊的企業，平均損失金額高達20萬美元。2018年6月美國政府已展開Operation WireWire行動，包括國土安全部、司法部、FBI、財政部等部門均參與行動，已聯手破獲多起BEC事件。

▲商業電子郵件詐騙（BEC）流程

由於BEC針對與外部供應鏈從事商務洽商及/或執行電匯時，進行詐騙攻擊，大多企業難以將被騙款項追回，由於黑客通常使用網路跳板、虛擬IP、一次性電子信箱等，追查費時、實務上往往難回收。

企業必須要了解商業電子郵件詐騙案背後被忽視的問題，以持續性滲透攻擊(Advanced Persistent Threat，APT)攻擊為例，企業平均遭黑客入侵潛伏的時間長達數百天，BEC詐騙也是差不多，從事前鎖定目標，到潛伏觀察，再到關鍵時刻假冒客戶變更匯款通知，通常都已滲透一段時間，因此必須要時常確認資安防護，一旦企業提早發現並報案，攔阻匯款機會就越大。

物聯網快速崛起，伴隨的是新資安挑戰

隨著物聯網發展蓬勃興起，信息安全存在於每個可連網設備中，黑客可能侵入汽車的剎車系統等其他所有可以連上網路的設備。為了避免資料外泄，必須要將資料進行分類，包括資料是否可信、資料是否隱私、資料的安全與/或實時傳輸是否重要、是否需要管理設備的所有權或需依安全的方式移轉、是否需要限制或控制接取的設備、是否需要升級設備軟體、資料是否經過審核等。

其中台灣面臨的資安威脅，主要來自分散式阻斷服務攻擊攻擊、勒索軟體、IoT裝置受駭、組織型黑客進階APT攻擊及個資外泄等，由於中小企業，礙於IT人才相對不足加上該層級提升且不斷，讓中小企業所面對安全威脅與挑戰非常嚴峻，未來需加強主動多層次、深度防禦Defend in-depth、實時回應與通報等方面布局。

另一方面，台灣隨著資通安全管理法於2018年5月11日通過後，未來在資通安全規範不再僅來自企業組織單方要求，而是有更完整的法源依據，且以此母法延伸，後續企業組織相關IT人員建立資安防護也有法可循，從而讓台灣信息安全發展與要求有更進一步提升。

文丨拓墣產業研究院 謝雨珊

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！