老威脅和新風險

今年的iThome CIO與資安大調查，我們做了一個重大的調整，取消了對於臺灣企業資安災情的調查問題。這是從2018年開始執行資安大調查以來，最大的一次調整。

在往年的資安大調查中，我們蒐集了三個與企業資安災情息息相關的關鍵數據，包括了企業過去一年資安事件數量、企業遭駭平均發現時間以及遭駭後的平均復原時間，用這三個數據來呈現企業的資安防護能力、資安偵測能力以及資安事故復原能力，想披露臺灣企業資安體質的三大面相：防禦力、偵測力和應變力。

但是，資安災情數據其實是一種落後指標，只能呈現出企業發生資安災情之前的舊況，而無法反映企業發生災情後的改善，或是為了防範未然而努力的成果。雖然，過去6年紀錄了臺灣整體產業資安災情的變化趨勢，但我們毅然決然，放棄這些題目，將焦點轉向更具有未來決策參考性的調查項目。

過往先從臺灣資安災情、資安投資展開的大調查系列報導，今年也轉而先從企業資安風險圖開始揭露，這正是一個可供企業了解2024～2025資安風險分布的領先指標，可以作為企業規畫未來一年資安策略和資源分配時的參考。

我們今年蒐集到了422位資安與IT主管對25項資安風險的評價，其中，近6成填答者是企業資安長或資安最高主管。他們自評這些風險項目對各自所屬企業的發生風險和衝擊高低，我們再依據他們的回答，繪製出整體與6大產業的2024～2025企業資安風險圖。

衝擊越高且發生風險越大的資安威脅，位於風險圖右上角的第一象限，而且位置越高越靠右，代表對這個產業的衝擊越大，發生可能性也越高。依此類推，可以看到25項風險項目各自的風險高低，與衝擊高低。

我們還標記出其中首要風險和次要風險，作為企業優先投入資源的參考。

從今年的資安風險圖來看，有11項風險列入第一象限，是企業未來一年要特別警戒的風險，其中大多數是四年來多次名列第一象限的老威脅，首要風險中的勒索軟體資安事件、社交工程手段和駭客都是每一年企業特別戒備的重中之重。今年新增加了「被植入竊資軟體/後門木馬」這項資安風險，也立刻被資安主管列入到高衝擊高風險項目中，值得企業留意。

不只用位置來區分25項資安風險在今年的威脅強度分布，我們更用顏色呈現兩年的風險變化，突顯今年威脅明顯提高的新風險，用紅色文字代表了今年風險明顯變大的項目，而綠色文字則代表了預估衝擊在今年明顯提高的項目，而針對今年在發生風險和衝擊程度兩項都增加的項目，更首度用紫色文字來標記。

就算沒有名列前茅的資安威脅，在今年資安風險圖上，若改用紫色文字來呈現，CIO們就得特別留意，這可能就是過去忽略，但未來一年可能會開始竄升的新風險。

 相關報導