駭客來襲 無煙硝的資安戰爭
近來多起知名商家與公家機關的個資外洩事件,不論對政府機關或民營企業,資安危機警鈴大響,已進入刻不容緩的重要攻防。
文 ● 黃俊超
水能載舟、亦能覆舟。網路帶動科技發展、生活便利程度都大幅度向上跳了不止一個層級,然而,卻也淪為新型態犯罪的溫床,且日新月異迅速進化,小如釣魚郵件、木馬程式,大如DDoS攻擊,只要連上網路,就可能受到各種未知且莫名的攻擊,生活、商業發展和資安防禦必須魚與熊掌兼得,成為個人、企業甚至政府、國防安全迫在眉睫的重大課題。
資安警報大響
約莫一九八○年代中期網路逐漸普及,電腦中毒開始成為使用者的夢魘,千禧年過後社群媒體興起,至近年的萬物聯網,越多能夠聯網的物品,就代表越有可能出現資訊安全的危機,包含汽車、飛機甚至武器等,資安對於每個人都具有威脅性,換個角度來看,不斷擴大的需求也成為企業極具發展性的商機。
絕大多數民眾幾乎每一天都會收到詐騙簡訊或不明電話騷擾,自去年下半年起,已傳出包含裕隆集團旗下格上租車、和泰集團旗下共享汽車iRent、統一集團旗下博客來網路商店、華航(2610),還有超過四五間公益社福團體遭駭客入侵用於詐騙、北市信義分局小隊長將資料轉賣徵信業者等,多起民眾個資外洩事件頻繁發生,顯示並沒有得到應有的教訓。
縱然蔡總統早已明確表示「資安即國安」,然而也發生了極度誇張的健保署官員集體洩漏,並且盜賣全台民眾個資至中國,由於包含總統府、立法院、國防部與國安局、軍情局、調查局、警政署、檢察、海巡、政風及憲兵等十一情治系統,投保人員個資全都外洩,凸顯出就算對資安在軟體與硬體上加強防護,卻因少數無恥之人,仍讓生命財產暴露在風險當中。
台灣在二○一七年遭受勒索病毒攻擊的次數,就已經排名全球前二○%,一八年微軟與Frost&Sillivan合作發布亞太資安研究報告,顯示台灣一年因資安攻擊造成經濟成本損失高達八一○○億元,疫情爆發後更是變本加厲,根據微軟統計數據顯示,亞太地區頻率增加二.四倍,然而台灣遭攻擊更較其他國家高出兩倍。
副總統賴清德於「HITCON Pacific二○二一」時指出,台灣二一年上半年遭駭客攻擊次數,就已高達全球其他國家三倍,其中以銀行業受到最多攻擊,且多家科技大廠屢遭勒索病毒威脅、要求支付贖金異常增加。縱然如此,個資洩漏依舊防不勝防,顯示資安在台灣仍有相當大的發展空間。根據Verizon數據洩漏調查報告指出,高達八二%資安事件實際上都牽涉到人為因素。
產值年複合成長率逾一成
由於網安產業雲滲透占比仍屬偏低,加上ID C預估網安產值將由二一年約一五一○億美元,至二四年達到二○○○億美元,Morgan Stanley報告就指出,未來三~五年內,資訊安全將成為企業重點投入項目,且幅度將會高於整體IT支出。
IEK報告顯示,台灣二○年資安產業產值為五五二億元、成長十一.九%,遠高於全球平均的二.八%,二一年雖然受制網路安全硬體與模組生產因缺料而影響出貨,成長趨緩至九.三%為六○三.五億元,不過隨著缺料等因素緩解.預估二二年產值上看六六九億元,一六~二二年複合成長率達一○.八%,高於全球平均的八.一%,並預期二五年將挑戰七八○億元的目標。
台灣資安產值以硬體出口為主,約八成出口至歐洲電信商與東南亞,其中終端與行動裝置防護、網路安全兩大類產值均突破百億元。硬體主要因應雲端服務與資料中心網路高速化更新需求,帶動雲端以及高速化專屬網路安全設備成長,尤其高速運算能力與高速網路傳輸能力的專屬網路安全硬體平台。
硬體產值成長,不過比重因資安服務產值成長而緩步下滑,不過占比仍超過五成,相較全球資安硬體比重僅十一%,顯示國內軟體與服務端,雖然人才已有國際水準,可惜多屬於中小型企業,面對國際大廠處於相對劣勢,然也代表未來仍有相當大的發展空間值得期待。
國內多家高科技業者發生勒索軟體攻擊事件,駭客不斷推陳出新攻擊模式,加上政府政策引導,促使企業強化資安系統建置,系統整合、代理商為企業建置資安系統,帶動資安代理服務、資安健檢、滲透測試、資安顧問等業務,再加上通報系統與監控營運中心建置,資安服務占產值比重由一六年的三一.九%,逐年成長至二一年的三九.六%,顯示自我防護需求成長趨勢已經確立。
金管會於二○二○年八月發布金融資安行動方案,要求國內資產達一定規模的銀行、證券、保險、投信、證交所、櫃買中心、期貨交易所等,共計六五家金融業者,在二二年三月底前須強制設立資安長,然疫情驅動數位轉型、ATM遭盜領等事件屢見不鮮,進而發布二.○版本,主要包含擴大資安長設置與定期召開聯繫會議、強化數位身分檢驗安全、深化核心資料保全、鼓勵零信任網路部署與規劃資安攻防演練等五大重點。
資安隱身IPC與系統整合
而於二○二一年底,金管會也公告修正「公開發行公司建立內部控制制度處理準則」,要求上市櫃公司依據營運的規模程度,配置一定比例的資安人員。基本分為三級,第一級共計一一一家企業,於二二年底設置資安長與兩名以上資安專責人員,第二級逾一三○○家企業,則是近三年只要沒有連續虧損且每股淨值未低於票面,設置資安專責主管與至少一名專責人員,第三級則鼓勵縱然處於虧損狀態的公司,可配置一名資安人員。
從資安會報、數位部的資安署,到剛揭牌的國家資通安全研究院,政府不斷投入資源,也要求企業強化資安防護安全,除了對於資安人才需求將大幅提升之外,在軟體與硬體的建置與強化,也勢必將會同步成長,危機總是伴隨著轉機,且也將可望帶來龐大商機。
基本上,台灣上市櫃的資安產業業者,硬體多隱身於工業電腦或網通相關當中,而軟體則多屬系統整合商,由於多屬非一次性消費就可達到一勞永逸的效果,而是在初步建構過後,還必須不斷精進、更新防護與強化層級,另外對人員觀念建立也是重點,才能夠對抗駭客等不斷湧現的攻擊,有助企業營運穩定向上。
近期系統整合股包含安碁資訊(6690)、宏碁資訊(6811)、倍力(6874)、叡揚(6752)、伊雲谷(6689)等,持續向上比價,硬體方面則有立端(6245)、其陽(3564)、廣積(8050)表態轉強,更詳細的廠商介紹,將於後兩篇文章分別討論。
閱讀完整內容