来源：Pixabay

2018年3月，Facebook因泄漏使用者信息造成全球对资安保护的重视，究其原因为剑桥分析被检举从2014年开始，透过Facebook平台搜集使用者信息，用于操控2016总统大选、英国脱欧选举，使用大数据来改变用户行为。不论在企业用户亦或是消费者，未来对于资安保护将越趋严格。

2018年5月，欧盟颁布史上最严资料保护条例「通用资料保护条例」(General Data Protection Regulation，GDPR)，对产业影响重大，其将资料安全提升至议事日程，从研发、设计、安全防御等方面，尤其每个企业需要保护的数位资产非常多。

换言之，GDPR对信息安全产业有促进作用，未来在数位安全、终端安全、云安全、行动安全、反欺诈与身份认证等，将是各企业重视的一块。

▌网络犯罪层出不穷，企业内部需强化资安意识

目前企业资安面临风险，包括员工缺乏资安意识、钓鱼邮件、恶意程序与勒索软件等，近年来黑客攻击日益严重，挖矿、间谍程序及各式网络攻击难防，造成企业营运成本增加、商誉受损等损失。

其中网络攻击型态已开始产生转变，过去黑客多破坏与炫技，近期则转向追求利益为主的攻击，以WannaCry为例，透过勒索病毒恶意软件不断滋长蔓延，新型变种不断演进，大量资料被锁定加密，使得企业内应用系统和数据库、档案加密后，造成无法正常工作，影响庞大。

不过比勒索软件更危险的是商业电子邮件诈骗(Business Email Compromise，BEC)，已被各界视为2018年网络犯罪主流之一，目标多以企业主管、财务为主，通常只要入侵电子邮件、窜改文件，多能让企业不疑有他，并主动汇款至诈骗用账户。

根据统计，2017年全球遭受变脸诈骗攻击的企业，平均损失金额高达20万美元。2018年6月美国政府已展开Operation WireWire行动，包括国土安全部、司法部、FBI、财政部等部门均参与行动，已联手破获多起BEC事件。

▲商业电子邮件诈骗（BEC）流程

由于BEC针对与外部供应链从事商务洽商及/或执行电汇时，进行诈骗攻击，大多企业难以将被骗款项追回，由于黑客通常使用网络跳板、虚拟IP、一次性电子信箱等，追查费时、实务上往往难回收。

企业必须要了解商业电子邮件诈骗案背后被忽视的问题，以持续性渗透攻击(Advanced Persistent Threat，APT)攻击为例，企业平均遭黑客入侵潜伏的时间长达数百天，BEC诈骗也是差不多，从事前锁定目标，到潜伏观察，再到关键时刻假冒客户变更汇款通知，通常都已渗透一段时间，因此必须要时常确认资安防护，一旦企业提早发现并报案，拦阻汇款机会就越大。

▌物联网快速崛起，伴随的是新资安挑战

随着物联网发展蓬勃兴起，信息安全存在于每个可连网设备中，黑客可能侵入汽车的剎车系统等其他所有可以连上网络的设备。为了避免资料外泄，必须要将资料进行分类，包括资料是否可信、资料是否隐私、资料的安全与/或实时传输是否重要、是否需要管理设备的所有权或需依安全的方式移转、是否需要限制或控制接取的设备、是否需要升级设备软件、资料是否经过审核等。

其中台湾面临的资安威胁，主要来自分散式阻断服务攻击攻击、勒索软件、IoT装置受骇、组织型黑客进阶APT攻击及个资外泄等，由于中小企业，碍于IT人才相对不足加上该层级提升且不断，让中小企业所面对安全威胁与挑战非常严峻，未来需加强主动多层次、深度防御Defend in-depth、实时回应与通报等方面布局。

另一方面，台湾随着资通安全管理法于2018年5月11日通过后，未来在资通安全规范不再仅来自企业组织单方要求，而是有更完整的法源依据，且以此母法延伸，后续企业组织相关IT人员建立资安防护也有法可循，从而让台湾信息安全发展与要求有更进一步提升。

来源：拓墣产业研究院TRI