今年的iThome CIO與資安大調查,我們做了一個重大的調整,取消了對於臺灣企業資安災情的調查問題。這是從2018年開始執行資安大調查以來,最大的一次調整。
在往年的資安大調查中,我們蒐集了三個與企業資安災情息息相關的關鍵數據,包括了企業過去一年資安事件數量、企業遭駭平均發現時間以及遭駭後的平均復原時間,用這三個數據來呈現企業的資安防護能力、資安偵測能力以及資安事故復原能力,想披露臺灣企業資安體質的三大面相:防禦力、偵測力和應變力。
但是,資安災情數據其實是一種落後指標,只能呈現出企業發生資安災情之前的舊況,而無法反映企業發生災情後的改善,或是為了防範未然而努力的成果。雖然,過去6年紀錄了臺灣整體產業資安災情的變化趨勢,但我們毅然決然,放棄這些題目,將焦點轉向更具有未來決策參考性的調查項目。
過往先從臺灣資安災情、資安投資展開的大調查系列報導,今年也轉而先從企業資安風險圖開始揭露,這正是一個可供企業了解2024~2025資安風險分布的領先指標,可以作為企業規畫未來一年資安策略和資源分配時的參考。
我們今年蒐集到了422位資安與IT主管對25項資安風險的評價,其中,近6成填答者是企業資安長或資安最高主管。他們自評這些風險項目對各自所屬企業的發生風險和衝擊高低,我們再依據他們的回答,繪製出整體與6大產業的2024~2025企業資安風險圖。
衝擊越高且發生風險越大的資安威脅,位於風險圖右上角的第一象限,而且位置越高越靠右,代表對這個產業的衝擊越大,發生可能性也越高。依此類推,可以看到25項風險項目各自的風險高低,與衝擊高低。
我們還標記出其中首要風險和次要風險,作為企業優先投入資源的參考。
從今年的資安風險圖來看,有11項風險列入第一象限,是企業未來一年要特別警戒的風險,其中大多數是四年來多次名列第一象限的老威脅,首要風險中的勒索軟體資安事件、社交工程手段和駭客都是每一年企業特別戒備的重中之重。今年新增加了「被植入竊資軟體/後門木馬」這項資安風險,也立刻被資安主管列入到高衝擊高風險項目中,值得企業留意。
不只用位置來區分25項資安風險在今年的威脅強度分布,我們更用顏色呈現兩年的風險變化,突顯今年威脅明顯提高的新風險,用紅色文字代表了今年風險明顯變大的項目,而綠色文字則代表了預估衝擊在今年明顯提高的項目,而針對今年在發生風險和衝擊程度兩項都增加的項目,更首度用紫色文字來標記。
就算沒有名列前茅的資安威脅,在今年資安風險圖上,若改用紫色文字來呈現,CIO們就得特別留意,這可能就是過去忽略,但未來一年可能會開始竄升的新風險。
專欄作者
熱門新聞
2024-11-05
2024-11-05
2024-11-07
2024-11-04
2024-11-02
2024-11-02