今年舉行的臺灣資安大會期間,我們初步揭露了「iThome 2018臺灣企業資安大調查」的部份結果,在第三天下午的分場議程演講當中,提出進一步報告說明,而在4月第一週,我們在iThome電腦報第862期週刊上,正式發布更完整的調查結果。

這是我們首度針對臺灣企業資安現況所製作的第一份大調查,總共涵蓋了臺灣2千大企業,最後得到的有效問卷達到374份。透過此次的研究與分析,總算是更具體掌握到臺灣企業資安狀態,而當中所呈現的結果,也能提供給所有關心臺灣資安的各界人士參考,尤其是讓企業能夠了解到所屬產業的概況,以及臺灣企業整體的狀態,在整個組織制定相關決策時,能夠作為判斷的依據。

首先,我們看到的是資安投資金額大幅攀升,今年的成長率高達73%,整體而言,企業投資金額是753萬元,金融業的貢獻度最大,有4千6百萬元之譜,投資成長率為234%,服務業的投資金額為751萬元,投資成長率排名第二(127%),而能夠在資安投入1百萬元費用以上的企業,也超過了一半的比例,顯示企業對於相關的投資很積極,不惜耗費重金,也要打造安全的資訊工作與服務環境。

另一個我個人比較意外的結果,則是企業對於員工資安意識強化,相當重視,在資安投資重點項目中,僅次於IT基礎架構的防護,47.9%的企業願意在這個部分投資。無獨有偶,這個趨勢也和另一個結果相互呼應,那就是當我們詢問到企業面臨的風險時,有56.7%的比例,落在「員工疏忽、欠缺資安意識」這個議題上,其次,才依序是釣魚郵件、惡意程式、勒索軟體。也就是說,企業認為員工資安意識不足的問題,居然超越了眾人耳熟能詳的典型外部資安威脅。

而在攻擊來源的認知上,55.3%的企業表示是駭客;其次是內部員工,比例接近4成,而屬於內部威脅範疇的離職前員工,也有9.4%,若將兩者合計,其實也已經逼近了一半的比例。出現這樣的結果,也意味著臺灣企業已經明顯察覺內部威脅,如果你身處的企業並未正視這樣的問題,應該儘快架構出妥善的因應方式,免得因為忽視內部威脅,而突然遭受重大損失。

而企業面對資安事件時的種種狀況與反應方式,也是值得關注的焦點。例如,有15.8%的企業表示,他們去年被攻擊了50次以上;而有一半左右的企業認為,被攻擊的次數在1到9次之間,而回答沒有與不知道的比例,分別為13.3%和8.5%。

上述狀況還滿耐人尋味,企業如果能夠察覺被攻擊那麼多次,其實。並不代表資安做得差,就像我們的記者黃彥棻認為,企業能夠察覺遭到攻擊,比起不知不覺來得好。

因為以現在的資安威脅攻擊態勢而言,從無差別散播到針對特定目標的模式都存在,所以,如果你所處的企業不知道是否遭到攻擊,或是自認為沒受到攻擊,其實,都該好好審視一下本身的資安防禦措施是否完備,確認偵測與預防能力與時俱進,否則可能已經受害卻不自知。

總體而言,臺灣企業對於資安的信心還有待提升,若要達成這樣的期望,我們都必須更努力!

作者簡介


Advertisement

更多 iThome相關內容