【iThome 2024資安大調查系列1】高科技製造業未來一年資安態勢大剖析

上雲浪潮，帶來了高科技製造業新的資安風險，雲端服務（網路服務）資安事件從去年的第四象限（低風險低衝擊），一舉進入了第一象限（高風險高衝擊），甚至超過1成高科技製造業者資安主管開始認為，未來一年，自家企業極可能發生雲端服務的資安事件。

高科技製造業的首頁資安風險和一般製造業一樣，都是勒索軟體資安事件的威脅，，高達57％高科技業者認為，一但發生，就會產生重大衝擊。隨著2022年開始，勒索軟體即服務（RaaS，Ransomware as a Service）的模式出現後，勒索軟體攻擊事件暴增，更多犯罪組織採取這類攻擊，不只大型企業，2023年更瞄準中型企業發動攻擊。

過去幾年，臺灣發生過多起知名高科技業者勒索軟體事件的災情，因此，在這兩年，高科技業者積極數位轉型同時，也投入不少資安資源來強化這方面的防禦，例如強化資料備份還原能力，更積極修補資安漏洞等。也因此，擔心發生勒索軟體威脅的高科技業者，比去年少了8%。

不過，資安漏洞（零時差漏洞）攻擊事件和駭客仍是高科技製造業未來一年必須高度警戒的次要風險，尤其，今年開始出現鎖定開源軟體社群的社交工程攻擊，攻擊者試圖在軟體供應鏈上游下手，植入後門程式，這也是高科技業者必須留意，一旦出現這類資安漏洞，得第一時間趕快修補。

積極推動IT現代化，得更警戒雲原生和上雲的資安風險

IT現代化是高科技製造業者數位轉型的關鍵工程，雲原生技術和上雲都是發展重點，尤其高達3成高科技業者為了因應企業永續的ESG布局，而決定提高上雲的比重。高科技製造業者在2023年底時，平均有15.9%的應用已經上公雲，到了2024年預估將進一步提高到20.9%。重度上雲（過半應用上公雲）的高科技業者在2023年底時只有2.5％，但在2024年底將增加到6.2%。高科技製造業在2024年的雲端投資也從2023年平均666萬元，在2024年增加到平均932萬元，上雲投資大幅增加了快4成，遠高於對AI、邊緣運算、資安的預算成長力道。 不過，高科技製造業今年如此積極的上雲，也帶來了新的上雲資安挑戰。

所以，對高科技業業而言，不論是雲端服務/網路服務資安事件，以雲端供應商為跳板的攻擊，這兩項風險的威脅，在未來一年明顯比2023年提高許多。

將資安信心水準分成5個等級，極有信心是100分，有信心80，大致有信心60分，只有一點信心40分，沒有信心是20分。以60分（大致有信心）為及格線，整體產業平均是67.1分，高科製造業的信心分數是65.6分，屬於中後段班，略高於一般製造業和醫療業。

那一項資安防護能力最弱？進一步從NIST CSF網路安全框架2.0版的六大面向來看，治理（Govern）、識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）。高科技製造業對自己的復原能力（71.1分）最有信心，這個信心甚至高於整體產業平均（70.2分），但是，高科技業對識別能力的信心最弱，平均只有62.7分，甚至比一般製造業還要低。高科技業者擔心自己，較沒有能力辨識出未來可能遭遇的資安風險高低。我們所製造的這份2024～2025高科技業資安風險圖，正好可以作為資訊長和資安長未來一年資安布局和決策時的參考。

導致高科技業者難以做好資安的阻礙因素，員工資安意識不足是最大原因（50%高科技業者如此認為），遠高於預算不足的問題（39.6%）。高科技製造業在2024年的資安預算平均約648萬元，高於一般製造業和服務業者，也比2023年增家了約2.4%。高達70%的高科業者將強化資安視為今年的IT優先目標，也有42.7%的企業今年要進一步推動資安轉型，員工資安訓練、基礎的端點和網路防護，這兩項是高科技者未來一年兩大資安投資重點，特別的是，高達45.8%高科技業者今年要投入弱點評估，來了解自己積極上雲之後可能遭遇的新課題。

13項高科技業未來一年高衝擊高發生風險的資安威脅

整體來看，未來一年，高科技製造業者在第一象限（高衝擊和高發生風險）的資安風險項目高達13項，除了前面提到的三大風險，勒索軟體資安事件、資安漏洞（零時差漏洞）攻擊事件、駭客之外，還包括了兩項製造業常見威脅，釣魚網站、社交工程手段。這兩項威脅在去年是高科技業著首要風險，和勒索軟體資安事件、駭客並列為2023年四大首要風險，但在今年，淨比例高達2成高科技業者不再將釣魚網站、社交工程手段列入未來一年可能發生的資安風險項目，這兩項與人息息相關的資安風險項目，在高科技業者去年積極強化員工資安意識之後，開始鍛鍊出更強的抵抗力，因此，風險程度比去年下滑了不少，不過，仍處於第一象限中，未來一年仍然不可掉以輕心。

第一象限中其餘八項風險包括了ChatGPT/GAI成為攻擊輔助工具、被植入竊資軟體/後門木馬、資料外洩事件、以第三方為跳板的攻擊、網路犯罪者、雲端服務/網路服務資安事件，以及剛好壓線的內部人員是攻擊者風險。高科技業者資安長，可以優先將資安資源投入到這13項風險項目的防護上，

其中，還有一項比較特別的風險是ChatGPT/GAI成為攻擊輔助工具，高科技業今年比去年突然開始特別擔心這一項風險項目。有14.6%高科技業者因為生成式AI浪潮，而加速推動數位轉型，也有近2成高科技者開始用GAI來提高員工生產力，或是將內部系統開始串接到生成式AI技術，因為較積極擁抱生成式AI技術，開始有不少高科技業者對這類技術的風險也比去年更加在意，而提高了對這項風險的戒心，成了今年風險程度和衝擊程度預估都比去年明顯增加許多的威脅。

在今年的資安風險圖中，我們以紫色來強調這類未來一年可能風險明顯提高的項目，高科技業者有兩項這類紫標的風險項目，而且都屬於第一象限中的紫標風險，除了ChatGPT/GAI成為攻擊輔助工具，另一項紫標風險則是雲端服務/網路服務資安事件。若高科技業資安長過去沒有特別留意，未來一年就得多花一份心思留意這兩類風險的資安態勢變化，一但威脅升溫，就得及時應變。文⊙王宏仁

 企業資安風險圖製作說明  在iThome 2024年CIO暨資安大調查中，由企業自評各資安項目的兩項指標，一項是該項目對企業帶來的衝擊程度（衝擊極高和衝擊極低），另一項是這個項目未來1年的發生風險（極可能發生與極不可能發生），再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊，位置越往上代表衝擊越大，水平軸是企業未來1 年發生該項目的風險，位置越右，代表可能性越大。紅色字的項目為今年發生風險明顯提高者，綠色字項目是今年預估衝擊明顯提高者，兩項皆明顯提高者為紫色文字。

 問卷說明  大調查執行期間從2024年2月15日到3月15日，對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管，進行線上問卷，有效問卷422家，其中62.8%填答者為企業資安最高主管。

 相關報導