iThome
許多企業一發生資安事件,就先推給駭客入侵,但實情可能跟內部員工或流程漏洞有關,而企業為保護聲譽和形象,即便受害也很少報案。根據iThome 2016年CIO調查結果,臺灣有超過4成企業去年遭遇1~9次資安事件,而遭到50次以上攻擊的企業也有26.2%。整體而言,除去不知道是否有遭到攻擊,或者是肯定答覆沒有遭到駭客攻擊的企業,其餘有高達8成企業都處於面臨1次以上資安事件的風險中。不過,曾在第一線偵辦網路犯罪的前警政署資訊室主任李相臣表示,過去以犯人作案記錄推算,實際受害的企業,至少是報案企業的5~10倍。而臺灣威瑞特由於可以直接從中繼站追查駭客的犯案過程,其資安長叢培侃估算,實際受害的企業甚至可能是報案企業的100倍之多。
高達75%企業自認沒有損失金錢,卻有企業損失1千萬
有趣的是,雖有8成企業遭遇資安事件風險,卻有高達75%企業表示,他們在資安事件中的金錢損失是0元。這也是因為如資料外洩、商譽受損等這類無形的損失,難以轉換成金錢。另外,也有5.8%企業表示,無法評估損失金額,一部分是因為不知道被入侵的範圍,另一方面也和難以估計受害災情有關;但還是有0.7%企業坦言,因資安事件造成超過1千萬元以上的損失,而這類高額金錢損失的受害企業,多以有利可圖的金融業與具有大量個資的服務業為主。
不只駭客,內部員工也是資安事件主要來源
這次調查也發現,各產業的資安事件來源前三名,分別以駭客、內部員工和離職員工為主,而政府機關與學校因為是APT攻擊鎖定的對象,外國國家級攻擊也是主要攻擊來源之一,其他較特殊的是,7.7%政府部門資安事件來源是目前合作的IT供應商,這也顯示,即便是委外給IT業者,甲方業主應該有的稽核不能少外,提供服務的乙方資服業者,也應該有一套完善的內稽流程,確保不受駭。
相關報導
【iThome 2016年CIO大調查:資安應用篇|臺灣資安數據大解密】