【iThome 2024資安大調查系列1】服務業未來一年資安態勢大剖析

隨著疫情零接觸商機紅利逐漸消失，這兩年服務業積極整合推動OMO線上線下整合，大舉上雲來推動數位轉型，更開始深化各種數據運用的可能性，服務業是唯一一個連續三年IT預算兩位數成長的產業，而OMO整合後的複雜性，也讓服務業面臨更多樣化的資安風險和網路威脅。

資安風險項目排序大變化，社交工程風險和衝擊突然竄升

服務業資安風險圖第一象限（高風險高衝擊）的資安項目，從去年的12項，到了今年多了一項，增加到13項，除了今年新增的「被植入竊資軟體/後門木馬」也進入樂第一象限，「商業郵件詐騙BEC」今年開始進入第一象限，成了必須留意
的新威脅。服務業今年資安風險項目的優先順序變化頗大，去年名列次要風險的社交工程手段，今年和勒索軟體資安事件並列為兩大首要風險，甚至，今年比去年多了18%的服務業資安主管開始認為，社交工程手段將對企業帶來重大衝擊。社交工程和勒索軟體的威脅是服務業在2024～2025必須優先因應的兩大首要風險。

去年名列首要風險的駭客和釣魚網站威脅在今年的排名出現些微下滑，6%服務業者不再認為釣魚網站的衝擊很大，也多了一成業者自評，未來一年不太可能遭遇駭客攻擊。不過，這兩項仍有不少服務業者相當擔心，依然是服務業者不可忽視的次要風險項目。

隨著服務業越來越仰賴數位通路，以第三方為跳板的攻擊和來自網路犯罪者的威脅也比往年更高，服務業資安主管認為這兩項對企業的衝擊，明顯比去年增加了不少，尤其今年多了一成服務業資安主管認為，第三方跳板攻擊將帶來重大衝擊而相當警戒。另外，商業郵件詐騙的衝擊程度也比去年更高，因此，這項風險從去年的高風險低衝擊的第三象限，首度在今年進入了高風險高衝擊的第一象限。

在OMO發展浪潮下，上雲依舊是服務業今年的IT發展重心，甚至近5成服務業者將上雲視為因應ESG的主要對策，比內部作業無紙化更積極推動。服務業是各產業之中，最積極擁抱公雲，也是雲原生技術採用率最高的產業。服務業在2024年底，平均將有31.7％的應用搬上公雲，35.6%的應用都採用雲原生技術。也因此，相較於其他產業，服務業者更為重視雲端安全，多達28％的服務業者將雲端安全列為未來一年的資安投資重點，是各產業中最多者。

影響服務業做好資安的最大原因是資安人手不足，只有7成服務業有專職資安人力，遠低於其他產業，今年有4成服務業者想要招募資安人手。服務業今年的資安預算平均達到584萬元，比去年大幅提高了12.5％，資安預算成長率是各產業最高者。今年也有4成多的服務業要積極推動資安轉型，採用主動防禦、資安左移等作為。今年有14%服務業者要投資軟體開發安全，更有24%服務業者要擁抱DevSecOps（開發安全維運一體化），這個比例和金融業的採用企業比例相當，也遠高於其他產業。

將資安信心水準分成5個等級，極有信心是100分，有信心80，大致有信心60分，只有一點信心40分，沒有信心是20分。以60分（大致有信心）為及格線，整體產業平均是67.1分，服務業資安主管自評的資安信心分數是67.9分，略高於整體平均，屬於前段班的水準，只低於金融業和政府學校。

服務業在各項資安防護能力的比較，從NIST CSF網路安全框架2.0版的六大面向來看，治理（Govern）、識別（Identify）、保護（Protect）、偵測（Detect）、回應（Respond）與復原（Recover）。服務業對每一項的信心都高於整體產業平均，沒有哪一些特別弱，其中，服務業對自己的復原能力（71.5分）最有信心，而對識別能力的信心最弱，平均只有65分，不過，這個識別能力分數已經比醫療、一般製造和高科技業者的信心分數高了不少。服務業資安主管擔心自己，較沒有能力辨識出未來可能的資安風險，可以參考這份2024～2025服務業資安風險圖，作為未來一年資安布局和決策時的參考。

服務業最積極擁抱GenAI，ChatGPT類服務資安風險開始浮現

在各產業之中，服務業最積極擁抱生成式AI的產業，多達11%的服務業者，已經正式在關鍵系統、工作場所或對外的產品服務中採用生成式AI，這個比例遠高於其他產業，高達3成服務業者開始用ChatGPT等GAI技術來提高員工的生產力，例如用於程式碼開發或者行銷輔助之用。近5成的服務業資訊長更將用AI創新應用和服務，列為2024年的優先發展目標。服務業在2024年的大數據投資和AI投資，都比2023年提高了不少。

不少服務業資安主管，繼上雲資安風險之後，也開始專注生成式AI帶來的風險，尤其服務者大多從ChatGPT類服務的採用上手，在今年資安大調查中可以看到，服務業有一項格外值得留意的資安風險，就是ChatGPT類服務資安事件，這項風險今年差一點進入第一象限，但是和去年的資安態勢相比，卻是25項資安項目中，威脅成長幅度最大的風險，今年多了一成服務業資安主管將ChatGPT類服務資安事件列入未來一年極可能發生，而且是衝擊很大的資安挑戰。

因為積極擁抱生成式AI，服務業也大力鼓勵員工使用外部的生成式AI服務，只有6％服務業者在內網禁用，但是為了預防日後浮現的生成式AI資安風險，已有54%的服務業者開始強化員工的生成式AI資安意識，例如提醒避免將機敏資料上傳到外部的ChatGPT服務，另有3成服務業者搭配強化機敏資料的保護機制作為配套。

在這份服務業企業資安風險圖中，比較了25項資安風險項目，企業資安資源有限時，可優先投入到第一象限的資安風險項目，也就是發生風險高且對企業衝擊影響高的項目，整體來看，服務業在2024～2025年要留意的第一象限風險共13項，除了勒索軟體資安事件、社交工程手段、駭客、釣魚網站這兩項首頁和兩項次要風險之外，還包括了資料外洩、資安漏洞（零時差漏洞）攻擊事件、被植入竊資軟體/後門木馬、以第三方為跳板的攻擊、網路犯罪者、顧客資安事件、內部人員是攻擊者、商業郵件詐騙BEC、以雲端供應商為跳板的攻擊等，可以作為服務業未來一年的資安優先重點。文⊙王宏仁

 企業資安風險圖製作說明  在iThome 2024年CIO暨資安大調查中，由企業自評各資安項目的兩項指標，一項是該項目對企業帶來的衝擊程度（衝擊極高和衝擊極低），另一項是這個項目未來1年的發生風險（極可能發生與極不可能發生），再換算成不同程度的量化數據來製圖。垂直軸是該項目對企業的衝擊，位置越往上代表衝擊越大，水平軸是企業未來1 年發生該項目的風險，位置越右，代表可能性越大。紅色字的項目為今年發生風險明顯提高者，綠色字項目是今年預估衝擊明顯提高者，兩項皆明顯提高者為紫色文字。

 問卷說明  大調查執行期間從2024年2月15日到3月15日，對臺灣大型企業、歷屆CIO大調查企業、政府機關和大學的IT與資安主管，進行線上問卷，有效問卷422家，其中62.8%填答者為企業資安最高主管。

 相關報導