iThome
能不能只用一個指標,就可以描述一個產業資安體質的好壞,甚至是反映出臺灣整體產業的資安能力?我們從去年開始,設計了一個全新的指標「遭駭指數」(Under Attack Index),作為衡量一家企業資安體質的整體性指標。
iThome從2007年開始進行臺灣企業CIO的大調查,更從2018年開始,在CIO大調查中,同步執行了資安大調查,至今累積了2,391份(2023年參與調查有效問題達到407份),來自臺灣大型企業的第一手資安數據,每年約4百家,涵蓋六大產業,一般製造、高科技製造、服務、金融、醫療、政府機關與學校,其中有超過6成問卷是企業資安最高主管親自作答。
企業遭駭指標整合了防禦力、偵測力和應變力指標
在資安大調查中,有三個與企業資安災情息息相關的關鍵數據,企業每年發生的資安事件數量、企業遭駭平均發現時間(多久才能發現自己遭駭)以及遭駭後平均復原時間,這三個數據分別代表了企業的資安防護能力、資安偵測能力以及資安事故復原能力,代表了企業資安體質的三個面相:防禦力、偵測力和應變力。這正是國際用來衡量一家企業資安實力常見的三個關鍵指標。
去年,我們將這三個指標整合成一個新的指標,也就是遭駭指數,作為衡量企業資安體質的整體性指標。
我們將「企業遭駭平均發現時間」(事前潛伏期),加上了發現遭駭後的「平均復原時間」(事後恢復期)視為企業一次資安事件的完整周期時間,乘上一家企業一年的「平均資安事件數量」,就可以得到一家企業一年得承受的遭駭天數。這個遭駭天數,不考慮資安事件重疊發生的情況,而是希望加總分別計算每一次事件帶來的影響,來反映企業承受的總壓力。最後進行各產業的平均計算,得出產業平均遭駭天數後,除以一年365天,就可以得到這個產業的「遭駭指數」,也就是這個產業一年有多少比例的時間,處於脆弱的遭駭階段。指數越高,代表企業資安體質越脆弱,處於不健康的生病狀態。
2022年臺灣整體產業遭駭指數與2020年相當
今年是第二年進行產業遭駭指數的揭露,根據今年資安大調查,2022年的臺灣整體產業的遭駭指數是50%,也就是說,臺灣整體產業在去年,有一半的時間,處於不健康的遭駭脆弱期,不管是處於自己沒有察覺的被駭潛伏期,或是發生事件後還沒有恢復正常運作的復原期。2022年的遭駭指數比2021年來得更高,大約與2020年相當,換句話說,臺灣企業資安災情嚴峻程度再度上升,回到與2020年相當。
若從各產業2021與2022年的遭駭指數變化來看,可以進一步看到不同產業遭駭災情的變化。災情變得更慘烈的產業,包括了高科技製造業,從74%提高到了91%,服務業從26%提高到44%,政府機關與學校也從18%提高到了38%,醫療業過去兩年的遭駭指數維持在34~36%之間。金融業和一般製造業是災情減緩的兩個產業,尤其是一般製造業去年的災情,比前年大幅減少了許多,從62%下滑到了54%。
金管會在2021年底,公告修正「公開發行公司建立內部控制制度處理準則」,要求臺灣近千家上市公司和近八百家上櫃公司,分成三個等級,依據等級不同,分別要求設置資安長、資安專責單位或是資安專責人員。第一級企業已在2022年底前,設立了資安長和至少2名資安專責人員的資安專責單位。其餘1千6百家上市櫃公司,第二級則須在2023年底前設立資安專責主管,第三級則鼓勵至少設置一名資安專責人員。這一波臺灣企業資安治理上的合規要求,要等到今年,才會陸續發酵,反映到企業資安的體質上,這也是為何企業遭駭指數,2022年不降反升的緣故。
對企業而言,更直觀的數據是平均遭駭天數,一年有多少天數,處於遭駭的脆弱期。臺灣2022年整體平均遭駭天數高達183.8天,超過半年處於脆弱期,高科技製造業更是慘烈,高達331.7天的遭駭天數,長達10個月脆弱期,成了資安體質最不健康的產業。
這個數據也很適合用於跨產業比較,或者企業可以自行計算自己的資安事件數、多少才發現遭駭的時間,以及遭駭後的復原時間,得出自己的遭駭指數,來與各產業平均遭駭指數相比較,就可以得到自家企業與同產業的資安體質落差。
問卷說明 大調查執行期間從2023年4月20日到5月10日,對臺灣大型企業、iThome歷屆CIO大調查企業、政府機關和大學的IT與資安主管,進行線上問卷,有效問卷407家,其中 59.8%填答者為企業資安最高主管。
熱門新聞
2023-12-03
2024-04-24
2024-04-25
2024-04-26
2024-04-26
2024-04-25
2024-04-22