BSI：2016 科技風險驟增，網路攻擊風險威脅最高

這幾年全球處於一個混亂的狀態，BSI英國標準協會臺灣分公司總經理蒲樹盛便舉例，像是雖然各國都面臨少子化，但全球人口卻因為人類越來越長壽而越來越多；同樣的，全世界大部分國家都處於負債狀態，卻因為彼此印鈔票使得錢越來越多、甚至現在日本正式邁入負利率的時代。但是，風險雖然高，卻也同樣代表是機會，我們要學會的就是，利用現今資訊科技的發展，從風險中找到商機。

2015年科技風險竄升速度最快

蒲樹盛借用世界經濟論壇（WEF）的全球風險報告來看機會到底在哪裡？他表示，WEF將風險分成經濟、環境、地緣政治與社會，以及科技風險四大類，所有的風險都有兩個特性：要看發生的「可能性」以及「影響性」，越容易發生、衝擊越大的風險，越值得我們關注。

在2015年最嚴重的風險是社會風險，包括伊斯蘭國（ISIS）帶來的風險、水資源危機也從傳統的環境風險演變成社會風險、氣候變遷帶來全球暖化，以及財政議題如失業、未充分就業，以及各國政府面臨財政失衡、負債等風險，日本與臺灣都身在其中、無法迴避。

從2015年開始，科技風險則是各類風險中，竄升速度最快的風險之一，不過，蒲樹盛說，在2013年之前，科技風險甚至排不上全球前二十名應該關注的風險項目。

科技風險竄升的速之快，迫使國家和企業都必須正視科技帶來的風險，他舉例，美國在去年網路安全的總預算，就已經超過臺灣的GDP（國內生產總值），這也是美國第一次編列這麼高的網路安全預算，背後原因就是，科技風險已經高到無法逃避、必須面對的情況了。

但是，科技風險當中，到底有哪些項目應該要進一步關注呢？蒲樹盛表示，企業和國家關心的科技風險不僅是資訊安全風險而已，前四名依序是網路攻擊（Cyber Attack）風險、資料詐騙和資料外洩風險、關鍵基礎建設中斷的風險，以及科技濫用的風險，其中，科技濫用的風險以前根本擠不進前幾名。簡單的說，如果國家、社會或組織在科技風險上，可以關注上述四個常見科技風險的項目，至少可大幅降低80％科技帶來的風險。

世界經濟論壇的2016年全球風險報告，特別點出4個科技風險。（圖片來源／WEF）

網路攻擊和科技帶來的反效果是今年主要科技風險

在2016年的科技風險則有了些許變化，其中，多了一些社會風險，如大規模非自願性遷徙的難民問題，另外，還有氣候變遷的失效，全球暖化對地球帶來很大的影響，也強化我們對節能減碳的需求。這些風險也迫使我們越早面對節能減碳的議題，像是，重新打造提高能源效率、大幅減少排碳量的綠色電腦機房，打造綠色IT則有助於減少碳排放，並達成節能減碳的目標。

在今年，科技風險不斷攀升，尤其是網路攻擊風險仍是最嚴重的科技類風險。像是國與國之間的互動和競逐，各國紛紛建立自己的網軍，拼命用各種手法發動網路攻擊，希望藉此達到各自目的，如資料外洩取得機敏資料，或是關鍵基礎設施的中斷達到癱瘓國家運作等。

另外，今年得特別注意科技應用帶來的反效果，蒲樹盛表示，許多人對社群軟體和行動裝置高度依賴，甚至改變了既有的生活習慣，如低頭族已經是全球現象。他表示，民眾對科技的依賴，讓許多中國山寨App有機可乘，仿冒成熱門App誘騙使用者下載。

就今年的網路攻擊而言，各國開始走上談判桌，正是要求「友好」或某些有敵意的國家，不要入侵彼此政府資料庫等；勒索軟體則利用各種作業系統漏洞，達到綁架資料、像使用者勒索金錢的目的。近期，美國蘋果公司為了確保使用者隱私，大力抵抗美國聯邦調查局（FBI）要蘋果公司協助提供使用者個人資料的要求，但蘋果公司的作法仍是少數，大多數企業，其實都擋不住政府跟企業要人民資料的壓力。

此外，蘋果作業系統漏洞也是很大攻擊目標，加上許多內部人員疏忽和惡意行為，包括挖角和偷資料行為，都是今年在面對科技風險時，應該要留意的項目內涵。

在資料保護上，像是物聯網（IoT）和數位金融的應用也面對更大的挑戰，不論是車連網或是無人駕駛帶來的科技挑戰，對產業和資安都帶來深遠影響，其他還包括：關鍵基礎建設安全的挑戰、資料保護和個人隱私保護的風險，資料外洩和詐騙風險，以及對個人道德與清廉的要求等等，都是面對科技風險時難以忽略的重要項目。

其中，在關鍵基礎設施保護上，往往因為組織內都缺乏風險管理架構，建議組織必須先鑒別組織內部的韌性、復原力是否足夠，當面對衝擊和中斷時，有沒有足夠的應變能力，在在考驗組織面對風險時的恢復能力。

在2016年也可以關注一個重要公有雲雲端安全標準ISO 27018，像是亞馬遜（Amazon）、微軟等公有雲業者都已經採用這個標準。蒲樹盛指出，沒有一個單一的雲端服務廠商可以靠自己完全服務他的客戶，往往還需要仰賴其他供應鏈業者一起提供服務，因此這個標準便規範服務前的SLA是否完善，過程中要做哪些事，過程後要如何資料保護、人員訓練等。

要如何因應未來關鍵服務面對的挑戰呢？蒲樹盛認為，政府可以從策略、管理和技術等三個面向來看，有策略就知道未來發展方向，但現況是，臺灣經濟景氣不佳、人才培養不力，出口能力不好等，因此，我們便要思考，是否會因為資安等風險，讓我們面對外來科技發展而有怯步。

舉例而言，英國在機場提供無人駕駛的接駁車，應用大資料、紅外線感測的應用等，而英國政府就通過一億英鎊的投資，也帶動整體產業的發展。過往，政府在策略上會希望做到雨露均沾，但在資源有限的前提下，就必須凝聚資源、奮力一投，才有成果，因此，策略的制定方向，將攸關未來成敗。

但是，在管理面上，他看到政府大部分都缺乏完整的管理架構和程序，包括高階架構、程序、PDCA循環等，此時便可以借鏡一些國際標準作為政府管理的參考；至於技術部分，就應該依照鑑別出來的風險與議題，導入及建置必要的技術與工具，確保管理活動可以有效的在內部實施。

【相關報導請參考「2016 全臺最大規模資安盛會直擊」】