Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31363

BSI:2016 科技風險驟增,網路攻擊風險威脅最高

$
0
0

這幾年全球處於一個混亂的狀態,BSI英國標準協會臺灣分公司總經理蒲樹盛便舉例,像是雖然各國都面臨少子化,但全球人口卻因為人類越來越長壽而越來越多;同樣的,全世界大部分國家都處於負債狀態,卻因為彼此印鈔票使得錢越來越多、甚至現在日本正式邁入負利率的時代。但是,風險雖然高,卻也同樣代表是機會,我們要學會的就是,利用現今資訊科技的發展,從風險中找到商機。

2015年科技風險竄升速度最快

蒲樹盛借用世界經濟論壇(WEF)的全球風險報告來看機會到底在哪裡?他表示,WEF將風險分成經濟、環境、地緣政治與社會,以及科技風險四大類,所有的風險都有兩個特性:要看發生的「可能性」以及「影響性」,越容易發生、衝擊越大的風險,越值得我們關注。

在2015年最嚴重的風險是社會風險,包括伊斯蘭國(ISIS)帶來的風險、水資源危機也從傳統的環境風險演變成社會風險、氣候變遷帶來全球暖化,以及財政議題如失業、未充分就業,以及各國政府面臨財政失衡、負債等風險,日本與臺灣都身在其中、無法迴避。

從2015年開始,科技風險則是各類風險中,竄升速度最快的風險之一,不過,蒲樹盛說,在2013年之前,科技風險甚至排不上全球前二十名應該關注的風險項目。

科技風險竄升的速之快,迫使國家和企業都必須正視科技帶來的風險,他舉例,美國在去年網路安全的總預算,就已經超過臺灣的GDP(國內生產總值),這也是美國第一次編列這麼高的網路安全預算,背後原因就是,科技風險已經高到無法逃避、必須面對的情況了。

但是,科技風險當中,到底有哪些項目應該要進一步關注呢?蒲樹盛表示,企業和國家關心的科技風險不僅是資訊安全風險而已,前四名依序是網路攻擊(Cyber Attack)風險、資料詐騙和資料外洩風險、關鍵基礎建設中斷的風險,以及科技濫用的風險,其中,科技濫用的風險以前根本擠不進前幾名。簡單的說,如果國家、社會或組織在科技風險上,可以關注上述四個常見科技風險的項目,至少可大幅降低80%科技帶來的風險。

世界經濟論壇的2016年全球風險報告,特別點出4個科技風險。(圖片來源/WEF)

網路攻擊和科技帶來的反效果是今年主要科技風險

在2016年的科技風險則有了些許變化,其中,多了一些社會風險,如大規模非自願性遷徙的難民問題,另外,還有氣候變遷的失效,全球暖化對地球帶來很大的影響,也強化我們對節能減碳的需求。這些風險也迫使我們越早面對節能減碳的議題,像是,重新打造提高能源效率、大幅減少排碳量的綠色電腦機房,打造綠色IT則有助於減少碳排放,並達成節能減碳的目標。

在今年,科技風險不斷攀升,尤其是網路攻擊風險仍是最嚴重的科技類風險。像是國與國之間的互動和競逐,各國紛紛建立自己的網軍,拼命用各種手法發動網路攻擊,希望藉此達到各自目的,如資料外洩取得機敏資料,或是關鍵基礎設施的中斷達到癱瘓國家運作等。

另外,今年得特別注意科技應用帶來的反效果,蒲樹盛表示,許多人對社群軟體和行動裝置高度依賴,甚至改變了既有的生活習慣,如低頭族已經是全球現象。他表示,民眾對科技的依賴,讓許多中國山寨App有機可乘,仿冒成熱門App誘騙使用者下載。

就今年的網路攻擊而言,各國開始走上談判桌,正是要求「友好」或某些有敵意的國家,不要入侵彼此政府資料庫等;勒索軟體則利用各種作業系統漏洞,達到綁架資料、像使用者勒索金錢的目的。近期,美國蘋果公司為了確保使用者隱私,大力抵抗美國聯邦調查局(FBI)要蘋果公司協助提供使用者個人資料的要求,但蘋果公司的作法仍是少數,大多數企業,其實都擋不住政府跟企業要人民資料的壓力。

此外,蘋果作業系統漏洞也是很大攻擊目標,加上許多內部人員疏忽和惡意行為,包括挖角和偷資料行為,都是今年在面對科技風險時,應該要留意的項目內涵。

在資料保護上,像是物聯網(IoT)和數位金融的應用也面對更大的挑戰,不論是車連網或是無人駕駛帶來的科技挑戰,對產業和資安都帶來深遠影響,其他還包括:關鍵基礎建設安全的挑戰、資料保護和個人隱私保護的風險,資料外洩和詐騙風險,以及對個人道德與清廉的要求等等,都是面對科技風險時難以忽略的重要項目。

其中,在關鍵基礎設施保護上,往往因為組織內都缺乏風險管理架構,建議組織必須先鑒別組織內部的韌性、復原力是否足夠,當面對衝擊和中斷時,有沒有足夠的應變能力,在在考驗組織面對風險時的恢復能力。

在2016年也可以關注一個重要公有雲雲端安全標準ISO 27018,像是亞馬遜(Amazon)、微軟等公有雲業者都已經採用這個標準。蒲樹盛指出,沒有一個單一的雲端服務廠商可以靠自己完全服務他的客戶,往往還需要仰賴其他供應鏈業者一起提供服務,因此這個標準便規範服務前的SLA是否完善,過程中要做哪些事,過程後要如何資料保護、人員訓練等。

要如何因應未來關鍵服務面對的挑戰呢?蒲樹盛認為,政府可以從策略、管理和技術等三個面向來看,有策略就知道未來發展方向,但現況是,臺灣經濟景氣不佳、人才培養不力,出口能力不好等,因此,我們便要思考,是否會因為資安等風險,讓我們面對外來科技發展而有怯步。

舉例而言,英國在機場提供無人駕駛的接駁車,應用大資料、紅外線感測的應用等,而英國政府就通過一億英鎊的投資,也帶動整體產業的發展。過往,政府在策略上會希望做到雨露均沾,但在資源有限的前提下,就必須凝聚資源、奮力一投,才有成果,因此,策略的制定方向,將攸關未來成敗。

但是,在管理面上,他看到政府大部分都缺乏完整的管理架構和程序,包括高階架構、程序、PDCA循環等,此時便可以借鏡一些國際標準作為政府管理的參考;至於技術部分,就應該依照鑑別出來的風險與議題,導入及建置必要的技術與工具,確保管理活動可以有效的在內部實施。

【相關報導請參考「2016 全臺最大規模資安盛會直擊」】


Viewing all articles
Browse latest Browse all 31363

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>