知識夥伴

2023
資安長大調查

台灣企業資安自評近 70 分
但半數資安治理尚在起步期
企業真的準備好面對全球駭客了嗎?

隨著全球駭客活躍、攻擊手法日新月異,造成企業重大財損外,更對商譽帶來難以彌補的傷害,企業對資安議題也日漸重視;再加上政府逐步要求上市櫃公司強化資安編制,愈來愈多企業增設「資安長」一職。《遠見》舉行「2023資安長大調查」,全面盤點上市櫃企業的資安治理規劃,進一步找出企業正面臨哪些困難,並請專家建議該如何因應。

當永續浪潮席捲全球,除了環境保護外,公司永續治理也是其中關鍵。但伺機而動的駭客輕輕一個按鈕,可能就會造成企業服務中斷,甚至倒閉的嚴重後果。根據統計,其中與企業營運不中斷關係最密切的「阻斷服務攻擊(DDoS)」,全球有1/3戰場就在台灣,台灣成為全球駭客攻擊熱區!

近年台灣重大資安事件

  1. 七家證券期貨商遭受駭客冒名下單攻擊,導致下單異常。

  2. 台達電子、Gogoro部分資訊系統遭受駭客攻擊。

  3. 台北市線上教學平台酷課雲遭大量存取,中斷服務1小時。

  4. 台灣虎航遭駭客存取會員系統。

  5. 美國眾議院議長裴洛西訪台,總統府、國防部、外交部、桃園機場都遭大量存取攻擊。

    7-11數位看板、台北車站數位看板、民視新聞YouTube直播的內容被置換。

    台灣銀行、兆豐銀行、藍新金流遭攻擊。

  6. Uber台灣約聘人員帳號被駭,網站內容遭竄改。

  7. 內政部戶役政2018年4月以前資料,流入暗網。

  8. 雄獅旅遊遭駭,半年內訂單資料外洩。

  9. 桃園醫院遭駭,影響12部主機運作。

  10. 租車公司iRent、格上租車資料庫未加密,公路總局開罰20萬元、10萬元。

    中華航空5千筆會員資料遭存取。

  11. 電源供應器廠商飛宏科技受到LockBit勒索軟體攻擊。

    百貨業者微風廣場遭勒索病毒入侵,駭客揚言擁有90萬筆個人資料。

  12. 宏碁合作伙伴權限遭竊而發生資料外洩。

    威秀影城傳出50萬筆客戶資料外洩。

    連接器廠宏致,資訊系統遭受駭客網路攻擊的事件。

  13. 微星部分資訊系統遭網路攻擊。

  14. 駭客打造冒牌遠通電收ETC,提供帶有FluHorse安卓木馬程式威脅的連結簡訊通知。

    國內輪胎大廠「正新輪胎」旗下子公司Cheng Shin Rubber USA部份資訊系統遭受駭客網路攻擊。

    統聯客運發生資料外洩與電信詐騙。

  15. 環天世通科技發生部分資訊系統遭受駭客網路攻擊。

有鑑於此,金管會也透過3階段逐步要求上市櫃公司強化資安編制,隨著第一階段的113家上市櫃公司於2022年底完成指派資安長並設置資安單位,第二階段擴大要求1367家上市櫃公司須在2023年底前配置資安主管及資安人員。

2023資安長大調查

《遠見》也在年底期限前舉行「2023資安長大調查」,深入盤點上市櫃企業資安長設立情形、資安治理規劃、資安建置困難,希望進一步協助企業找出資安機會點。

產業分類比例 (%)

378家回卷企業中,佔比最高為科技業的40.7%、傳產運輸業(38.6%),其次為服務業(20.6%);從細部產業分類來看,則以傳統製造與科技電子業為前兩類佔比最高,產業分佈比例與整體上市櫃企業分佈相同。

*備註:2023 資安長大調查中產業分類項目,科技業涵蓋科技/電子製造業、科技服務業、醫療生技業,傳產運輸業涵蓋傳統製造業、運輸業,服務業涵蓋金融業、零售貿易業、觀光餐飲業、工商服務業(含不動產)、傳播媒體與文創、健康服務業、民生服務業。

資安長設立情形 (%)

近四成企業資安長到位
首要任務「導入資安策略」

首先,上市櫃企業中,近四成已經設立資安長或資安專責主管,另有近三成上市櫃企業以其他部門主管兼任,未設立任何專責人員者僅一成。調查數字顯示,上市櫃公司對於資安長或資安人員的配置已有進程。

資安長最應該具備的能力 (%)

規劃與導入資安策略
運用資安支持公司營運不中斷
內外部溝通資安成效
資訊安全
防護技術
熟悉資安
相關法規
部署供應鏈資安管理
規劃與導入資安策略 75.4%

具規劃與導入資安策略能力

運用資安支持公司營運不中斷 66.9%

懂得如何將資安支持公司營運不中斷

內外部溝通資安成效 49.7%

具內外部溝通資安成效能力

資訊安全防護技術 40.5%

懂得資訊安全防護技術

熟悉資安相關法規 31.2%

熟悉並關注國內外資安相關法規

部署供應鏈資安管理 13.5%

懂得如何部署供應鏈資安管理

請問您認為資安長或資安單位主管,最應具備的能力?【複選,最多三項】

那企業對資安長的期待又是什麼?

高達75.4%企業認為,資安長最應具備:「規劃與導入資安策略能力」,其次為66.9%公司表示為「懂得如何將資安支持公司營運不中斷」,第三則是「具內外部溝通資安成效能力(49.7%)」。

資安長來源

企業對資安長寄予厚望,但翻開調查可以發現,目前設有資安長的企業有高達92.1%是內部升調;而「尚未設有資訊安全專責單位」的企業,多以資訊部門兼任資安事務。

國內最大資安服務商安碁資訊總經理吳乙南提醒,在企業中,資訊部門大多扮演營運單位的協力角色,要從組織配角轉為防守數位安全的主力戰將,如何建立內部資安意識與文化、制定資安策略,進一步爭取資源,落實資安防護力,再再考驗著非資安專長出身的資安長們。

企業資安治理程度 (%)

第一階段
第二階段
第三階段
第四階段
第五階段
第六階段
其他、不知道
第一階段 4.5%

還沒有進行資安治理評估的想法

第二階段 24.6%

開始草擬資安治理的方向或計畫,但尚未完全執行落實

第三階段 28.3%

對於組織整體發展方向進行過固有風險、系統性風險評估

第四階段 12.7%

對於內部各領域的部門或BU評估過現階段的管理要求與技術防護作為

第五階段 9.3%

高階主管能識別與決策資安風險改善方案

第六階段 20.4%

資安策略導入成果已融入核心業務流程,能定期檢視、調整應對新興資安風險,具備資安治理成熟風氣

其他、不知道 0.3%

請問 貴公司是否有進行「資安治理」的評估,持續檢視組織的資訊安全現況?請勾選出目前的資安治理程度大概落於哪個階段。

不同產業在
「開始草擬資安治理計畫」
的比例 (%)

傳產運輸
科技業
服務業
產業分類:傳產運輸 30.1%
產業分類:科技業 21.4%
產業分類:服務業 20.5%

逾半數企業資安治理程度
尚在初步發展階段

進一步檢視企業的資安治理程度來看,加總後超過半數企業的資安治理程度尚在初步發展階段(57.4%)*備1,而目前最多企業(28.3%)表示,尚在:「對於組織整體發展方向進行過固有風險、系統性風險評估」,24.6%表示在「開始草擬資安治理的方向或計畫」。其中,傳產運輸業中最多企業(30.1%)表示尚在第二階段「開始草擬資安治理的方向或計畫」,相較於科技業與服務業在第二階段之比例,傳產運輸業資安治理程度明顯發展較為緩慢。

*備註1:「初步發展階段」(57.4%)是指包含第一階段「還沒有進行資安治理評估的想法」 (4.5%) 、第二階段「開始草擬資安治理的方向或計畫,但尚未完全執行落實」 (24.6%) ,以及第三階段「對於組織整體發展方向進行過故有風險、系統性風險評估」 (28.3%) 。

企業資安自評分近70分 太過樂觀?

弔詭的是,企業普遍資安治理程度尚淺,但被問到要給自家企業的資訊安全因應打分數時,平均分數為69.1,且各產業皆有達及格之上。

對此,吳乙南認為,「從數字可以看得出來,企業對資安的迷思」,資訊安全落實在防禦範圍、駭客可能的攻擊手法、攻擊弱點及員工資安意識等諸多面向,而非只是買好防毒軟體就可以安心,以目前企業資安進程來看,自評分數可能還是略顯樂觀。

企業面臨資安問題 (%)

人才缺乏
資安政策
嚴格要求
企業文化
高層不瞭解
資訊動態
難掌握
內外部資源難整合
資安事件易對營運造成難恢復影響
評級機構
溝通問題
其他
沒有
資安難題
人才缺乏 65.1%

資安人才缺乏,難以應付平常的資料維運工作(如IT兼任資安)

資安政策嚴格要求 36.0%

資訊安全相關政策趨嚴,法遵挑戰高

企業文化 28.8%

企業文化較難接受大規模改動流程,難以快速深植資安意識

高層不瞭解 23.3%

高層不瞭解或認為目前投入已足夠,未能提供必要資源

趨勢動態難掌握 20.6%

難以掌握資安領域的全球趨勢和同業動態

內外部資源難整合 15.9%

難以有效整合內外部資源

資安事件容易對營運造成難恢復影響 15.9%

資安事件一發生便容易對營運造成影響,恢復力不足

評級機構溝通問題 2.1%

與資安評級機構溝通困難

其他 1.1%
沒有資安難題 6.6%

沒有資安議題的相關難題

請問現階段,貴公司面臨資安議題的最大困難,主要是哪些?【複選,最多三項】

六成五企業大喊「找不到資安人才」

既然有超過半數企業尚處於資安起步期,勢必會面臨諸多困難。根據調查顯示,企業面臨資安議題最棘手之處在於人才,65.1%企業表示有此困難,其次所面臨到的第二困難為法遵議題36%,第三困難則是有28.8%企業提出企業文化難以改變的現況。

吳乙南指出,隨著政府加大力道推動企業設立資安專責單位,資安人才缺口日益加大,但駭客攻擊威脅卻是時刻存在,如果沒有人力24小時監控、掃描日常維運資料,並稽核員工使用習慣,等於沒有設防。他也建議,企業透過與可信賴且具規模的第三方專業資安服務廠商合作,快速強化公司的資安體質。

資安預算是否成長 (%)

企業資安預算年增近三成
佈局主力在資安健檢

企業設立了資安長及資安專責單位後,是否也給了更多的資源?

調查顯示,56.6%的企業在資安所編列的預算較去年成長;進一步詢問成長比例,整體平均落在28%左右,也就是說,今年的資安預算較去年成長了近三成。

從產業來看,可發現科技業、員工人數多者,此類型企業的預算成長比例最高;但服務業所編列預算相對較少;另外已經成立了50年以上的長青企業,對於預算也較趨向保守。

資安相關成果是否納入董事會議程 (%)

此外,已有四成企業表示,目前有將資安相關成果納入董事會議程討論。就以2022年度來說,將資安議題納入董事會議程討論的比例平均為22.8%,也就是約為召開5次董事會中會有1次討論到資安議題。

從公司組織位階、章程與資源分配上來看,企業確實有做好資安的決心。

未來三年內資安投資項目 (%)

定期進行
資安健檢
資料保全與營運演練
攻防模擬
演練
制定內部
政策規劃
情資分析與監控
部署零信任架構
設置資安長與專職單位
導入管理
標準與監控
聘任人才
其他
定期進行資安健檢 51.1%

定期進行資安監控與防護之有效性評估(資安健檢)

資料保全與營運演練 38.6%

深化核心資料保全及營運持續演練

攻防模擬演練 34.9%

定期進行資安攻防模擬演練,規劃重大資安事件支援演練與相關訓練

制定內部政策規劃 32.5%

因應資安防護,制定內部相關資安政策或人員規範

情資分析與監控 31.5%

建置或運用資安情資分析與監控

部署零信任架構 25.9%

部屬零信任架構,強化連線驗證與授權管控

設置資安長與專職單位 21.2%

調整組織與資源,設置資安長與資安專責單位

導入管理標準與監控 20.4%

擴大導入國際資安管理標準及建置資安監控機制

聘任人才 11.6%

聘任多元專長資安人才,擴大攻防演訓量能

其他 0.8%

請問貴公司在未來三年內預計將「資訊安全」之預算投入以下哪些策略項目?請選出預計投入最多的三個項目【複選,最多三項】

既然要做,就要把錢花在刀口上。高達51.1%的企業表示,未來會投入:「定期進行資安監控與防護之有效性評估(資安健檢)」,其次為38.6%表示將「深化核心資料保全及營運持續演練」,第三為「定期進行資安攻防模擬演練,規劃重大資安事件支援演練與相關訓練(34.9%)」。

金融業未來三年內
資安投資項目前四項 (%)

資料保全與營運演練
定期進行
資安健檢
部屬零信任架構
攻防模擬
演練
資料保全與營運演練 54.4%

深化核心資料保全及營運持續演練

定期進行資安健檢 45.5%

定期進行資安監控與防護之有效性評估(資安健檢)

部署零信任架構 45.5%

部屬零信任架構,強化連線驗證與授權管控

攻防模擬演練 45.5%

定期進行資安攻防模擬演練,規劃重大資安事件支援演練與相關訓練

金融監督管理委員會推動「金融資安行動方案2.0版」,鼓勵金融機構擁抱零信任架構。調查中也發現金融業者在未來三年內資安投資方向,除了上述三種項目外,其中以投資在部署零信任架構比例(45.5%)上,明顯比其他產業更高,可作為未來其他企業資安策略投入項目的參考方向。

事前、中、後策略建立資安縱深防禦

吳乙南則是認為,企業依照資安治理進程的不同,應有不同的配置重心。

首先,如果企業尚在資安佈局的起點,可以從業務衝擊評估做起,找出不同產業各自不同的核心業務,再依照預算大小分區分段建立資安防禦力。

至於已經有資安專責單位的企業,則可將重點擺在日常維運監控,提高通報事件的精確度,以免一天數百件假警報,降低了企業警覺性。

資安治理成熟度高的企業,則應將資安策略聚焦在重大資安事件的應變上,爭取企業在遭逢駭客攻擊時的短短十幾個小時內危機處理、復原、提出改善計畫,才能穩住投資人的信心。

資安是否納入「ESG公司治理體系」 (%)

產官攜手
落實資安創造永續

過去,資安大多被劃入公司風險管理範圍,但也有59.5%的企業在近三年來,將資安議題放入ESG公司治理體系,加深資訊安全對公司永續發展的重要性。

對此,產業界也期待,政府如果想要加速企業推動資安治理防護,可從政策制定、資金補助與專業協助等面向來給予協助。

根據統計,今年第一季為止,台灣每週遭受網路攻擊次數超過3000次,居全球之冠。面對分秒必爭的駭客威脅,產業界應思考如何與政府、專業資安服務商等第三方協力夥伴合作,落實資安部署,強化企業韌性,才能創造永續願景。

調查說明

調查主題:2023資安長大調查
調查方式:電話聯繫,寄送網路問卷連結與問卷檔案供企業回覆。
調查對象:台灣上市、上櫃公司之資安長/資訊相關部門經理主管,或總經理辦公室。
有效樣本:共 378 間企業,回收率為21%。
調查期間: 2023年4月14日至5月31日。