資安

做好一名資安長，必須在安全和營運做到平衡，首先要釐清資安長的角色與職掌功能；其次，將企業集團面臨的風險同時連結到對應的績效指標；第三，配合業務發展策略，投入相對應的資源

根據資安部落格KrebsonSecurity報導，盜走多家科技大廠內部資料的駭客組織Lapsus$，也曾攻擊T-Mobile並取得這家電信業者的專案程式碼

根據資安業者Mandiant調查，2021是史上發現最多零時差漏洞的一年，總計出現80個零時差漏洞

到2022年底前，金管會透過修法方式，提升各產業公司資安防護能力，規定111家上市櫃公司必須設立副總層級以上的兼任資安長，有利於企業內部做資安資源的調度，金融業則是最先被要求設立資安長的產業

金融業是臺灣設立副總層級資安長的先鋒產業，第一銀行執行副總經理劉培文則身兼資訊、資安、數位金融和金融科技推動的高階主管，他認為，未來在開放銀行架構下，許多典範會隨之改變，資安長要設定長期願景，後面的策略戰術資源配置調整才跟得上

如果企業執行長是決策、帶頭的船長，他依然需要一位擁有領域知識的引水人，指出前方水路的風險，航道的限制，甚至提供更佳航行路徑的建議

這場駭客競賽結果也顯示了工控系統因不常進行安全更新，導致研究人員找到不少可自遠端執行任意程式的零時差漏洞

在本週的資安新聞中，駭客利用OAuth憑證入侵數十個組織的GitHub的供應鏈攻擊事故引起關注，再者，勒索軟體Conti與駭客組織Karakurt狼狽為奸、勒索軟體REvil可能死灰復燃的情況也值得留意