就重大資安風險的比例而言,2019年前兩名分別是「員工疏忽、欠缺資安意識」,以及「惡意程式」,均比2018年略高,值得注意的是惡意程式從第3名升至第2名,比去年增加了1.3%,釣魚攻擊則下降一個名次。
接下來,「系統老舊」與「駭客攻擊導致企業受影響」分別拿下第6名(26.2%),以及第7名(20.2%)。但這兩項去年都並未進入前十大企業資安風險,顯示今年的臺灣企業已經察覺到系統老舊可能帶來的風險,以及對於駭客攻擊可能帶來的衝擊。
而在企業資安事件的主要攻擊來源當中,前五名的類型不變,仍是駭客最多,其次是內部員工,第三是組織型犯罪,比例都降低了,但離職的前員工的比例則增加了0.2%。
而關於企業無法阻擋資安攻擊的原因當中,排名前五大的因素,比例大多比去年低,但居首的「員工資安意識不足」不動如山,仍是63.1%,顯見企業必須持續進行相關的宣導,不能鬆懈!
而在第6名到第11名當中,「需要分析的資料太多」今年突然空降到前十名,直奔第7。
同時,我們也發現「管理高層的資安意識不足」與「缺乏管理階層的支持」都比去年增加了1%以上。面對上述狀況,企業應該要多多注意高階主管的資安意識,不應讓管理階層成為推動資安的阻礙。
而提升比例更小、但不能忽視的部份是「市場上缺乏有效的資安產品」,以及「部門間缺乏合作」,解決方案供應商與企業本身應該持續改善這些因素,避免讓資安防護產生死角。
就各個產業的企業而言,對於遭遇資安攻擊的狀況,以及災後復原的能力,我們想特別提醒一般製造業,需要特別當心!
首先,因為在去年遭遇50次以上攻擊事件的比例,一般製造業是18.5%,僅次於金融業(20.8%);其次,在察覺自身受到攻擊的時間當中,一般製造業最為遲鈍,平均需23.7天,也就是超過三週才會發現(整體平均值為11.5天,慢了1倍以上);若就復原時間來看,一般製造業需6.3天,幾乎快要一週才能恢復正常運作,處理時間過久(整體平均值為4.3天,慢了45%)!
此外,對於資安防護信心偏低的企業比例,一般製造業也是高達23.9%,排名第二。在年度資安投資金額上,一般製造業更是敬陪末座,平均只有136萬元,低於臺灣企業整體平均的20%。若再將這筆預算除以12個月,一般製造業每個月花在資安的比例只有11萬元,相當令人擔憂。
讓我們再來看看今年的企業資安投資重點項目。其中,針對「網路安全」的企業比例最高,達到57.9%,顯示企業非常關切這方面的保護是否夠完備;而去年身為榜首的IT基礎架構防護,今年退居第二,比例也減少了一些。
另一個讓人意外的部份是災難復原,拿下第三名。
至於其他名列前茅的投資項目,比例都有減少的趨勢,但差距最大的是「強化權限存取控管」,去年是40.6%,今年是19.6%,其次是資料外洩防護(DLP),今年為23%,接著是端點安全、員工意識教育訓練。或許這樣的反差,代表著企業採用或導入相關機制的情況,已經變得更普遍,所以,資安投資的重心有所調整。