網路行為引發的資安風險：資安管理

資安的初始

以往網路發展沒那麼快速普及的時代，不管是個人資料或企業資訊，多半都是紙本記錄，主攻電腦程式設計的駭客以癱瘓系統為主軸，只要讓目標對象無法使用就算達到目的，且使用者必須點擊特定的傳輸物件，才有機會造成影響，且以前的病毒能力不具非常強烈的破壞性，最多就是運作的單個主機程式受到損害，以紙本記錄的資料本體損傷不高，當作業系統重整更新後，程式安裝完成就能繼續使用，這也是為什麼以往防毒軟體的需求較高的原因，因為可以先行攔截載體，如信件。

隱私安全的重點

現在網路科技發達，無紙化的資料輸入變成常態，當大量的機密資料存放在數據中心的伺服器或個人電腦戶，以現今不管是個資或企業機密都能銷售甚至變現的情況下，也同時成為駭客優先攻擊的目標。網路研究機構Cyber Security Ventures預估，2021勒索軟體攻擊造成全球損失逾200億美元，相較2015年增加61倍，更別說還有網路釣魚詐騙及殭屍網路等等。

駭客攻擊的重點是針對機密的資料群敲詐金額，目的一樣是讓企業無法使用，但不會毀損資料，而是把核心資料加密，使企業無法讀取，並要求企業同意給付贖金贖回資料。如果企業不同意給予金額，則會開始洩漏企業機密資料以強制對方妥協，例如去年遭到駭客組織REvil竊取設計產品機密的廣達，廣達拒絕給付贖金的情況下，REvil在暗網公布了數份Ｍacbook Air設計圖。

對於企業體的合作對象而言，若因資訊安全管理不足而導致產品機密外洩，輕則導致產品的商業價值降低或消失，重則被對手摸清設計而捷足先登失去先機；對被盜取資料的企業體而言，一旦事情發生，除了風險管理會讓合作對象有所疑慮導致未來合作破局外，不管是時間成本或資料保護的損失會遠大於聘僱資安人員所耗費的成本。

數位化的社會在食衣住行育樂都脫離不了聯網，從最基本的採買消費到高度專業的銀行端，個人資料的保護及運用都非常重要，如沒保護好影響到的是個人權益，也跟自身的安全有高度相關聯。

特斯拉電動車發生的資安問題，雖然原因出在車主用來蒐集分析車輛行駛數據的開源軟體（著作權所有者開放原始碼取用並允許修改的電腦軟體），但這個漏洞卻批露了電動車的所有行車數據，及當下所處的位置。且研究之後發現可以向遠在他方的電動車發出指令，雖然無法操控方向盤，卻能做到開關車門、撥放音樂、操控車頭燈等等，但這些問題也足夠影響行車安全，對於之後高度需要聯網的電動車業者來說，此類資安引發的問題不可小覷。

未來的作為

晶圓代工龍頭台積電在經歷2018年的機台中毒，導致3天損失26億的事件後，便與國際半導體產業協會(SEMI)於2021年底推動全球首個半導體資安標準SEMI E187，含括作業系統規範、網路安全、端點保護等。未來全球各家半導體設備商得依循SEMI E187標準提高自家的資安水準，才可能拿下台積電的訂單。

因應近幾年大型企業資安頻傳的事件，金管會已在去年底修法，修正「公開發行公司建立內部控制制度處理準則」(簡稱：處理準則)，為了強化上市櫃公司資訊安全管理機制，要求其依據營運的規模程度，配置一定的資安人員，不同資本額分為不同級別，也有不同程度的人員需求如資安專責主管及資安專責人員等。而對金融業的要求層級最為嚴格，38間本土銀行以外，一定規模的保險公司、證券商、期貨商與投顧業，都要設立資安長且必須在2022年3月底前完成。

企業該如何推動與執行？

進入2023年，在新聞版面總是見到層出不窮的資安議題與事件發生，在2023年的現在要求上市櫃需配置專責的資安人員仍有人手不足情形，如何讓資安教育與資安理念落實在各企業單位及部門內，有效的溝通與協調是資安長執行的最大方向，確保企業內的所有業務都能在安全的環境下穩健成長，讓同仁養成資安意識，主動發現可能的癥結點並回報資安部門，有效防止都比事後補教來的更加即時。

在網路興起後，駭客的能力與時俱進，在未來網路傳輸視為必需品的情況下，只要連上網路，不管是個人資料還是企業機密都有資安的風險，畢竟牽一髮而動全身，信任是企業無法快速累積的資產，風險管理一旦做不好，更是企業於客戶個人化服務與邁向數位化根基的絆腳石，該怎麼處理資訊保密及有意識的去跟進現在不斷變化的資安情勢，是從個人到政府國家都要理解面對的事。

參考資料：

資安未來熱需求、金管會修法、駭進特斯拉揭發巨頭漏洞、企業資安該怎麼推？