台灣企業資安防禦意識與能力皆不足,對於智慧數位轉型發展不利。 駭侵事件頻傳,企業資安意識低落
台灣由於政治經濟環境特殊,長期以來從國外尤其是中國大陸的網路攻擊未曾間斷,政府部門和民間企業皆飽受駭客攻擊之苦。根據微軟發布的亞太資安研究報告指出,台灣2017年因資安攻擊事件造成的經濟成本損失,高達8100億新台幣,相當於台灣GDP總值的5%。上述的鉅額損失數字或許有討論空間,但回顧以往資安事件發展的歷史,台灣確實處於特殊的「資安地理區位」。
此外,該研究報告也指出,台灣民眾的資安意識偏低,竟有超過六成以上民眾會打開釣魚信件,以排名而言,已連續三年位居全球倒數第一。資安事件不僅造成直接的經濟損失,也拖延了企業數位轉型的速度。微軟研究報告亦指出,根據其統計,台灣企業家數中高達77%,因為害怕資安威脅,一再推遲數位轉型專案的實施。
台灣企業組成結構中超過97%為中小企業,多數經營者相對願意將資源投入與業績開拓有關的活動,視其他單位為成本部門。中小企業主對資訊科技的導入與採用,通常謹慎且保守,而且相對價格導向。面對駭客多變的攻擊模式,台灣企業的防禦能力往往不足卻不自知。有鑒於此,本研究即針對台灣重要產業類別的資安需求進行抽樣調查,掌握其資安防護部署現況,了解其需求缺口,並提供台灣資安廠商作為市場開拓或產品研發方向之參考。
調查對象與樣本結構
本次研究以問卷調查方式,針對關鍵基礎建設、民生工業、化學工業、金屬機電、電子資訊、流通、營造、其他服務業等八類產業,進行隨機抽樣,依母體結構配額後,回收有效樣本1068家企業,抽樣結構如下表所示。
表1 抽樣調查結構/資料來源:工研院IEK Consulting (2018/10) 註:n=1068 整體產業終端與網路防護建置率高
根據本次調查結果,整體而言,終端系統防護產品與網路安全防護產品由於功能成熟穩定,亦是基礎防護重點,企業建置率分別達93%與85.7%,是所有資安防護方案中採用最為普及的項目。此外,資訊系統安全檢測防護服務、網路安全檢測防護服務,企業建置率亦分別達68.8%、62.3%,顯示國內六成以上企業對於終端和網路安全的維護,已了解到不可單純依賴產品,也需要配合定期的專業檢測服務。
建置率排名第5的項目為資料安全防護產品,整體企業建置率達57.7%,顯示企業內部對資料外洩與毀損的防範,除了嚴格且規律的實施資料備份或異地備援等措施,也開始意識到需要更有效率且主動性高的資料保護方案,如文件加密、端點控管、權限設定等工具。
然而,儘管國內產業在資安基礎防護方面已有相當高的部署程度,但對於行動裝置、雲端內容、物聯網安全等資安產品,以及諸如營運管理和檢測鑑識的資安服務,目前的建置率仍然相當低。
圖1 整體產業資安防護方案建置與規劃/資料來源:工研院IEK Consulting (2018/10) 註:n=1068 關鍵基礎設施、化工、電子資訊業資安防護資源投入相對較高
本研究分別從預算和人力的角度,調查各產業對於後續布局資安防護的資源投入規劃意願,發現關鍵基礎設施、化工、電子資訊業等三類產業中,有相對較高比例的企業,願意增加後續的預算和人力投入,如下圖所示。進一步分析關鍵基礎設施類業者,可發現金融業和醫療業在資安預算和人力的後續投入,願意增加的比例高於其他同類業者如交通運輸、通訊傳播等。
圖2 各產業資安防護資源投入規劃/資料來源:工研院IEK Consulting (2018/10) 註:n=1068 資料保護、BYOD、個資法議題最受產業關注
對於會影響企業資安防護布局決策的資安議題,受訪廠商中共有904家感到本研究所指稱的資安議題對其確實有影響,其中最令企業關注或困擾應如何加強防護的,仍以機敏資料保護為優先,其次則是同樣已談論許久的員工攜帶自用資訊裝置和個資管理法,如下表所示。主要原因在於近年勒索軟體攻擊頻繁,對企業重要資料的保護而言,又多了一層威脅;而BYOD的管理問題,自從行動裝置益發多元化且快速普及後,就很難有一個安全與方便兼顧的解決方案;至於個資管理法一旦違規,即有高額罰則甚至刑責,合規壓力自然使得企業不得不重視。
表2 對產業資安部署有影響之資安議題/資料來源:工研院IEK Consulting (2018/10) 註:n=904 產業後續資安防護重點
有鑒於近年多起資安事件,無論是透過社交工程、釣魚、從後門植入蠕蟲、木馬程式等,或是惡意加密的勒索軟體,都造成了企業相當程度的損失,企業對這些病毒型攻擊的資安威脅,仍然感到最有壓力。根據調查結果發現,企業仍視病毒侵害、惡意程式攻擊、勒索軟體為最需要加強防護的安全重點,如下圖所示。
圖3 整體產業資安後續防護重點/資料來源:工研院IEK Consulting (2018/10) 註:n=1068 金融、醫療、電子資訊業市場潛力相對較高
本研究以各產業平均資安預算金額與成長率為指標,採用四分位數法界定出資源投入高、經費成長率中高程度(相當於前1/3)之金融、醫療、電子資訊業等產業,以及投資金額規模中等、成長性中等之產業(相當於整體前1/3至2/3),如交通運輸、能源與水資源、化工、通訊傳播、民生工業等,作為進一步判斷國內資安市場中,哪些產業屬於購買資安產品或服務潛力較高者,如下圖所示。針對金融業、醫療業、電子資訊業等所謂高需求潛力市場,以下將逐一探討其資安防護需求重點為何。
圖4 國內資安市場潛力評估/資料來源:工研院IEK Consulting (2018/10) 高市場潛力產業資安防護需求分析
1.金融業將有新增系統安全檢測服務需求
根據本研究調查結果,金融業者後續將採用的資安防護方案,以資安架構規劃系統整合建置服務和資訊系統安全檢測防護服務為主,如下圖所示。主要原因為金融法規終將朝向逐漸鬆綁以利創新服務之發展,銀行、證券業者將持續有對外服務系統上線,進而對滲透測試、黑白箱測試等檢測服務需求增溫。此外,由於新舊系統同時並存情況將趨於嚴重,恐影響業務正常營運之維持,故出現系統架構整合規劃的需求。儘管滲透測試等檢測服務並非是新的解決方案,但有不少銀行業者接受本研究訪談時,反映現有檢測報告常有不易理解,且未能揣摩駭客思維及行為模式,導致測試效度降低的問題。
圖5 金融業資安防護需求現況與規劃/資料來源:工研院IEK Consulting (2018/10) 2.醫療業對醫材物聯網安全需求更加迫切
對醫療業而言,HIS系統的醫療影像,以及電子病歷為重點保護資料,而且由於資料格式無法一致,在加密保護上存在技術瓶頸,也進而開始搜尋資料保護相關的解決方案。另一方面,醫院已不時發生電子醫療設備遭勒索軟體攻擊的事件,雖然目前多數受害機器,仍以X光機這類無存入重要醫療個資的機器為主,多數醫院仍以資料備援方式因應,但長久之計仍應添購具安全功能的物聯網醫療設備。根據本研究調查結果發現,整體醫療業對資安防護工具的採用態度略顯消極,傾向於維持現況,多數資安防護工具都不考慮採用,如下圖所示。
圖6 醫療業資安防護需求現況與規劃/資料來源:工研院IEK Consulting (2018/10) 3.電子資訊業
根據本研究調查結果發現,電子資訊業後續資安防護需求,以資訊系統安全檢測防護服務、資安架構規劃系統整合建置服務、資料安全防護產品為主,如下圖所示。接受本研究訪談的相關業者表示,訂單資料、原材料配方、ERP資料為企業內部的重點保護對象,而且許多受訪廠商不約而同表示有意採用進階型的資料加密工具,如以柔科技、統睿科技(DVC)等公司的產品。此外,在本研究訪查過程中亦發現,電子資訊業者中屬於非高科技製造業者,對資安產品了解有限,而且缺乏評估能力,當面臨防護需求時竟無法有效的評估選擇最適合公司的解決方案。
圖7 電子資訊業資安防護需求現況與規劃/資料來源:工研院IEK Consulting (2018/10) 國內資安廠商之機會與挑戰
1.重點市場機會
綜合以上所述,2018年台灣整體產業投入的資安資源如人力、預算等,呈現小幅增加,顯示國內對於資安防護雖逐漸重視,但市場需求還未見明顯爆發。關鍵基礎設施如金融、醫療和電子資訊業,對後續資安人力和產品採購預算,增加意願相對高於其他產業,相對屬於需求潛力較高的市場,值得國內資安廠商持續關注。
整體產業在終端、網路、資料等基礎資安防護方面,有較多的資安工具部署,後續規劃則傾向持續加強終端系統防護、資訊系統安全檢測防護服務、資料安全防護產品、資安架構規劃與系統整合建置服務等。
高潛力市場的個別需求,即是國內資安廠商的市場機會,根據本研究對企業訪談結果顯示,金融業因持續新增對外服務系統上線,持續出現黑、白箱測試、滲透測試服務等需求;醫療業因醫療電子設備易受勒索病毒攻擊,對醫療物聯網設備的防護需求將持續增加,應可從網路端和連網電子設備端兩部份布建物聯網安全防護措施;電子資訊業對資料加密保護解決方案有明顯需求,且普遍缺乏資安產品採用之鑑別力,前者可視為國內研發DLP解決方案廠商的重要機會,後者則需藉由政府或法人組成的第三方機制協助推薦優質產品。
2.市場進入挑戰
2.1滲透測試需加強報表分析意涵解讀以滿足金融市場需求
滲透測試服務已相當成熟,不但有充足工具、檢測標準、正確流程,且有能力執行的廠商非常多,但儘管如此測試結果卻仍常有差異。根據本研究對金融業者訪談的結果,發現當前滲透測試服務仍存在三種服務品質不良的狀況,值得資安服務廠商注意與改善。
首先,滲透測試報告內容不易理解,常直接以程式碼表示,文字解讀不足,難以內部使用溝通;其次,測試人員缺乏經驗,只知操作工具,未能揣摩駭客思維和行為模式,以致測試效度降低;第三,測試人員不知變通,照本宣科提供改善建議,未能解決業主真正問題。國內部份新創資安廠商如戴夫寇爾、果核數位等,即主張可掌握以駭客思維所發起的攻擊行為,相信其服務品質更能為市場所接受。
2.2與智慧醫療廠商合作強化資安防護以滿足醫療市場需求
現行的醫療電子設備安規IEC60950中的六大安全規範,包括風險管理、絕緣性、使用過程傷害防範、應用性、產品外在標示、電子相容性等,亦或是ISO13485醫療器材品質管理系統標準中,都還未將資訊安全納入標準中,顯示醫療電子設備仍存在安全防護缺口。
然而,國內資安廠商在物聯網安全的技術能量稍弱,專業廠商如安華聯網等,數量相對較少。而醫療業長期以來對ICT產品採用或新系統導入的保守態度,為產業所周知,故資安廠商亦缺乏醫療領域安防經驗,在進入醫療領域市場上實為不易。
因此,本研究建議資安廠商可從與硬體設備製造商合作,開發新產品或改善產品資安防護力的方式,間接進入醫療業市場。有鑒於台灣現有醫療電子設備業者仍以代工為主,若能結合本地3C電子廠商的技術與市場經驗,再加上物聯網資安防護功能,將很有機會創造出能進入國際市場競爭的自有品牌。此舉除有助於國內醫材業發展外,亦可嘉惠於醫療業的資安防護能力提升。
2.3布局進階加密技術以滿足電子資訊業資料保護需求
資料遺失防護(DLP)解決方案在2007年即已是資安熱門產品,但在功能上與時俱進的程度稍微緩慢。以往的主機型和網路型DLP解決方案,各有無法提供離線保護和異質平台主機管理的限制,導致保護功能僅涵蓋事前和事中階段,自動化程度不足,而且檔案自主機外洩後就無法挽救。當前部份電子資訊業者正在積極搜尋,或者有意進一步了解的以柔資訊和統睿科技的加密保護產品,則具備了即使檔案已離開電腦或者到達遠端後,管理者仍能有控制權的功能。
上述新創資安廠商的DLP解決方案,除了特殊演算法產生的加密功能,以及需多重授權才能解密的機制外,更具備了事前、事中、事後三階段的完整防護能力。例如,當外流檔案開啟密碼達設定錯誤次數,內容即銷毀或失效;而要具備這種功能,在檔案還存在本機端時,使用者就必須能設定認證機制,或是對寄出之文件可設定外部的控制方式。對於原已致力於研發DLP產品的資安廠商而言,可將此種進階型的檔案加密保護工具,作為下一階段的研發目標。
相關連結: 第176期Cyber Security專輯