公民幫推協會理事長黃建興、前馬來西亞檳州行政議員鄧章耀、清福醫院院長王炯琅、中華生技醫藥行業協會理事長陳建州藥師--360x180.jpg)
欣賞謝德祥副總(右)在裝修業的專業實力,並認為天然防潮石膏磚)-360x180.jpg)
記者陳金金 / 台北報導
2025年還沒過完第一季,台灣資安再度亮起紅燈。先是2月傳出北部知名醫院 500 台電腦遭駭當機與中部某醫院遭攻擊引發關注,3月初北部知名醫院病患資料遭加密勒索,1660 萬個資被駭客公開販售,恐已流入詐騙集團手中,各界無不譁然,以喚醒了台灣社會對重大資安事件的記憶。
如2016 年,某銀行ATM被駭入盜領 7000萬台幣,以及後續的十三家證券公司遭集體勒索、鐵路票務系統遭駭、加油站支付系統遭癱瘓、戶政資料 2357 萬筆遭兜售、某航空公司會員資料遭勒贖…等,以及北市衛生局、銓敘部、汽車租賃服務、知名百貨、旅行社等個資外洩事件,無不在當時震驚各界。
令人憂心的是,當今社會無論企業營運或民眾生活,雙雙走入數位化,相當於 24 小時暴露於資安風險的侵襲中,每一民眾都可能成為下一個待宰羔羊,而政府、企業、機構也都可能成為新的受害者。
8年大小事件下來,台灣不是沒有學乖
就連被外界認為資安嚴謹的一種科技大廠也不見得能倖免,在過去的8年間,陸續遭遇大小不同的資安攻擊。儘管政府與企業多次宣示加強資安力道、更在數位轉型、永續經營的浪潮下搖旗吶喊,卻仍顯力有未逮,也讓外界質疑,「資安即國安」的說法,是否正在延後兌現?!
事實上,台灣企業並非沒有亡羊補牢,從《2025 CIO Insight 調查報告》可以得知,企業未來一年的IT重點專案類型正是以「網路安全軟體與服務」占最大宗,但專家卻一針見血的指出,台灣資安跟不上腳步是因為存在著「資安意識提升,但行動力不足」、「缺乏整體策略,看到了才補救」、「新威脅難掌握,建置緩不濟急」三大軟肋,前者包含預算、人力、角色、評估上的困境;中者點出企業難以獨立完善資安防護,只能見招拆招;後者則是對於新威脅缺乏掌握,因而難有因應之道。
對此,有不少業界人士建議,與其固守實體機房、形同孤島無援,不如把架構、資料放上雲端,利用其託管服務的安全機制來為企業或政府的資安把關,其好處是「一來可以藉機落實數位轉型,淘汰老舊又難以防護的設備;二來省去成本與人力,把資安交由CSP雲端服務商(Cloud Service Provider)一肩扛起。」專家說。
令人憂心的是,總有很高的比例企業認為「能獲得完善的資安保障,正是它們願意遷徙雲端的主要動機」,同時卻也陷入最大的誤區,就是「行動跟不上心動」。對此,業界專家表示,台灣企業與政府時常會「說服」自己不用變革,理由有以下三種:
- 對於地端設備的眷戀,捨不得早期投入的成本
- 認為現行仍然能運作,下一個出事的並非自己
- 架構與資料搬遷麻煩,深怕日常營運受到影響
然而,長時間拖著無疑是將自己與用戶暴露在高度風險的攻擊危機之下,加上各式新興威脅與日俱增,全球每一年所面對的資安挑戰,恐只會越來越棘手。
雲端真的比較安全? 看看AWS做了什麼?
「比起單打獨鬥的實體機房,答案絕對是肯定的!」現代資訊架構下,相信多數專業人士會給出這樣的答案。
以 AWS 來說,他們會運用旗下的 Amazon GuardDuty、Amazon Macie 即時監測異常行為,同時自動化保護機敏資料,也會利用 AWS Key Management Service(KMS)與 CloudHSM 為高度機敏資料再加密上下足功夫。另一方面,則是符合當地法規與認證,企業可以「一卡皮箱」的搬遷,不需要擔心法令問題,而「災害備援、災中維運」同樣也是雲端服務的強項。
在業界,每一家CSP都會有自己的看家本領!一般來説無論是那一朵公有雲都握有一群資訊科技業的頂尖人才,也長期致力於資訊安全。以目前市佔率最高的AWS為例,首先,光是擁有動輒數千人的專業資安團隊,從事24小時全天候的監控與威脅應對,就已經是一般企業難以達成的優勢;第二,雲端平台有自動化安全更新,能快速修補漏洞,避免後續的風險;第三,所宣成的資安防護,均需經過第三方安全認證,認證標準相當嚴苛,還要符合國際規範,除了ISO外,還有GDPR、HIPPA、NIST 等,並非一般企業都有資源能完整具備;第四,所有在雲端上的資料,都會經過加密處理,無論是儲存或傳輸中。
「不僅擁有多層的防護網,還擁有資安事件的應策中心、情報中心! 對企業來說十分划算。」這是許多加入 AWS 公有雲行列企業的共同心聲。不僅如此,美國國防部、中情局、日本內務省等,被視為必須窮極資安之能事的世界各國政府單位,也早在多年前上了雲端,目的就是為了資訊安全、簡化管理,同時為AI與缺工時代做好準備。
上雲成自然? AI、資安、缺人才帶動二次雲端浪潮?
前一次的企業上雲浪潮約莫始於2013~2014年,為的是迎接行動網路帶來的數位生活型態。十年後的今天,「AI導入、永續規範、人才缺乏」很可能就是背後主因。
首先,AI算力與應用,已非企業可以自建維運,雲端平台「即用、節省、快速,可因應新變化」的優勢,幾乎成為導入AI的唯一途徑;其次,ESG永續浪潮下,公司治理也被賦予落實監督資訊安全的重責大任,資安需求只會變得越來越剛性;最後,資訊人才日漸缺乏下,企業也開始找尋新出路,取代傳統耗人費時的維運方式。
此一跡象也能從《2025 CIO Insight 調查報告》看得出來。報告指出,台灣五大產業(服務、金融、健康醫療、高科技製造、傳統製造)未來一年的前三大IT專案類型分別為:1. 網路安全軟體與服務、2. IT基礎架構現代化/雲端基礎架構、3. 人工智慧與機器學習平台工具,如此的資訊支出配置,幾乎也佐證了台灣迎接第二次雲端浪潮的說法。
最後,根據《iThome 2024資安大調查》顯示,台灣面臨多達12種的資安風險,企業卻因著「人手不足、員工意識不足、預算不足、高層缺乏意識」等阻礙裹足不前。倘若台灣各界仍對於資安投入抱持「沒發生事情,就先不編列預算」或「錢都花了,卻沒發生事情,很浪費」的心態,恐怕將永遠跟不上駭客、詐團、有心人士的積極手段。
