相關連結:https://www.ithome.com.tw/article/129615

7成多企業去年發生過至少一次資安事件,1成6甚至發生破50次,但企業資安投資不再像去年那樣爆增,而與IT預算的成長力道相當,只有醫療業因資安法上路而大幅加碼資安,網路安全更成了各產業都想要優先強化的項目。

8e7ab6c11d01fe07bd9a947d352221f2.png

  臺灣大型企業今年的資安投資重點不太一樣。員工資安意識不足,仍是企業最擔心的資安風險,但是,從今年資安投資動向來看,企業更實務地因應接踵而來的資安挑戰。

  先從資安投資規模來看,今年資安投資成長率,從去年的73%暴漲,回穩到10.2%,這個資安投資成長率大約和今年IT預算成長幅度相當,換句話說,企業平均比去年多了1成資安預算。從產業來看,去年金融業和服務業的資安預算大增,甚至翻倍成長,今年則指有些微提高。但去年預算緊縮的醫療業,受到資安法上路的衝擊,開始對醫院有更多的資安要求和規範,醫療業今年的資安投資翻了3倍,居各產業之冠。


db3dc1a102dbc6a29c93df796609a0ef.png

  以金額來看,大型企業今年平均資安投資是739萬元,以金融業的3,839萬元最高。不過,這樣的資安投資,仍離CIO認為足以因應資安威脅所需的金額,平均還少了8成,尤其醫療業和政府機關,資安預算不足感最強烈。

  IT基礎架構向來是資安投資大宗,不過,今年重視網路安全的企業更多了,甚至超越了IT基礎架構防護的排名,成了排名第一的資安重點。另一個今年崛起的投資重點是災難復原(DR),而想要強化員工資安意識的企業今年則減少了,企業等不及員工改變,改先從恢復力著手,倒是今年有8.6%的企業,準備要來提升董事會和CEO的資安意識,將資安意識的教育,拉高到高層。


53b66437d49fbe725c6f06415d5cc911.png

  不少國外當紅的新興資安技術、資安作法也開始吹進臺灣,例如今年有2.1%的企業要實施紅隊測試,要組一個專門團隊從駭客思維來進行自我攻擊,想辦法找出企業資安防護網的弱點。另外也有1.8%企業決定要推出漏洞獎勵計畫,雖然仍舊是個位數的企業有意採用,但這代表了臺灣企業更快速地跟上全球資安趨勢的作法。

  在資安人力上,目前仍有半數企業由IT部門兼資安單位,甚至有27.2%企業沒有資安專責人力,只是由IT人員兼任。但是,資安人才不好找,是僅次於.NET開發人員和MIS人員的熱門職缺,比起AI人員,更多企業想要招募資安人員。主要資安職缺是資安工程師和網路安全人員,另外,資安中階主管和熟諳資安的開發人才也很搶手。更有些企業要招募特殊資安專長人才,如滲透測試、弱點分析、惡意分析、數位鑑識、資安AI分析等職缺都有。

  企業資安實力持續提升,也導致今年編列了資安委外預算的企業減少了,從去年的18.2%,降低到今年的14.1%,不過,從產業來看,仍有26.7%的金融業者、30.3%政府與學校將部分資安工作委外,引進外部專業資安團隊來協助自家的資安防護。企業今年主要會採取委外的資安工作,包括了弱點管理與滲透測試、資安威脅監控、特定資安事件諮詢顧問,也有13.6%企業將資安維護作業委外。另有3成金融業者今年計畫要委託外部公司來進行對內的釣魚攻擊測試,這也是一個用來強化員工資安意識的方法。


7成企業去年至少發生過1次資安事件

b0221c99dbe7c09772de179d54e2acd3.png

  企業平均得花上11.5天,才能發現自己遭攻擊,一般製造業甚至得花上23.7天。發生資安事件後,能在一天內復原的企業只有63.1%,比去年74%,還少了一成,甚至有3成企業要數天到1周才能恢復正常。常見資安災情是造成企業業務或服務中斷,為了因應這些事件,也連帶提高了企業資安建置的成本。

  企業自認擋不住資安攻擊的關鍵仍舊是員工,前五大風險依序是員工資安意識不足、惡意程式、釣魚攻擊、勒索軟體和垃圾郵件。這些都可作為企業今年調整資安戰略的參考。

上一個 回列表 下一個