【iThome 2025企業資安大調查｜企業資安危機】對網釣社交工程的風險意識最強，老舊系統更新躍居年度最大挑戰

企業2025年最憂心的12大資安風險排行中，「網路釣魚與社交工程」威脅，持續成為企業資安長最頭痛的難題，在2025年iThome CIO暨資安大調查中，有超過6成企業，將這項威脅列為這一年最可能遭遇的資安風險。社交工程威脅在過去兩年的比例均為4成，2025年顯然有更多企業對此感到憂心。

資安漏洞濫用（51％）與勒索軟體資安事故（48％）居於第二與第三，顯示有半數企業認為可能遭遇這項風險。特別需要注意的是，去年資安漏洞濫用風險位居第五名，今年躍升至第二名。

至於今年4到12名依序是：DDoS攻擊、瀏覽惡意網站、商業郵件詐騙（BEC詐騙）、個人資料外洩、機敏資料外洩、被植入竊資軟體/後門木馬、網路犯罪者攻擊、國家級網路攻擊，以及雲端服務或網路服務資安事件。

從產業別來看，風險排序也有所不同，例如，政府學校憂心的首要風險是DDoS攻擊：而在服務業，個人資料外洩位居前三大風險之內。

從新興風險來看，企業對深偽技術（Deepfake）冒用風險的關注度明顯提升。去年不到1成的企業憂心此風險（醫療業甚至為零），今年增至1成9，顯示每5家企業就有1家認為將遭遇此威脅。不過，今年AI風險的關注度下滑，或許因採用率或採用時間的緣故，企業傾向從更務實的角度看待這項風險，導致在今年調查中相關的各項比例都不到1成，關注度最高的一項是「LLM應用程式洩漏敏感資料」。

從企業推動資安往成熟發展的挑戰來看，今年調查結果出現明顯變化，「老舊資訊系統的更新」躍升為資安主管最憂心的議題，排名第一。除了老舊系統更新，「資安意識教育訓練的實施」、「資安事件應變能力的提升與維持」，這兩項也是多數企業持續面臨的重大挑戰。

過去，老舊系統更新經常名列前五大挑戰，但今年顯然受到更高度的關注，尤其是服務業、一般製造業、政府學校，都視為首要挑戰，而且比例都在55％以上；高科技製造業、醫療業視為第三大挑戰。這也反映出新的資安管理態勢，像是面臨IT基礎架構需盡快升級或轉換的急迫，再加上作業系統Windows 10等產品生命週期將在今年進入尾聲，同樣帶來系統汰換升級的壓力。

在資安意識培育方面，高科技業將此視為首要挑戰，其他產業看待此項的排名居於第二或第三，比例都在55％以上，僅金融業例外；在應變能力準備方面，這項挑戰在各產業的排名居第二到第四。

另外，長年重視資安投資的金融業，今年面臨著新的挑戰，不論是老舊系統更新、資安意識培育，都不再是該產業最憂心的議題，取而代之的是技術能力提升、掌握威脅進化，成為金融產業的核心新課題。

至於其他推動資安上的重要挑戰，仍有41％高科技業認為「董事會等高階主管的支持」是一大挑戰；一般製造業、醫療業、金融業還會在意「資安文化的建立與維護」；金融業則是額外關注「供應商與第三方管理」；服務業還會憂心的挑戰是「資安治理的確保」。

 調查說明  調查執行從2024年12月30日到2025年2月3日為止，針對臺灣大型企業，歷屆CIO大調查企業，政府機關和大學的IT與資安主管，進行線上問卷。有效問卷數395家，其中有72%是CIO與IT主管，62％是CISO與資安主管。