《會計師看時事》企業拚資安 須先跑贏駭客

近日勒索軟體WannaCry侵害事件頻傳，各類重要國家機關、醫療單位、教育機構到個人用戶，皆傳出被勒索約300到600美元不等的贖金，受害者若未按照指示付款，電腦內遭加密的資料將無法還原。

根據資安業者統計，此次攻擊事件，將導致全球超過100個國家受害，其中，俄國、烏克蘭與台灣為主要受攻擊目標。

其實勒索軟體並非原創，自1980年代即有勒索軟體對企業重要檔案進行隱藏，藉以要求支付贖金。

隨著加密技術、駭客能力以及比特幣和乙太幣等電子貨幣等不斷發展，自2005年後，又再次聽聞企業受到黑帽駭客（網路罪犯）的侵害。

綜觀過往黑帽駭客的攻擊模式，不外乎以置換網頁、停擺系統等方式損害企業形象。又或者，將竊取客戶隱私、商業機密等重要資料，作為主要攻擊手段。

不過，此類模式對攻擊者而言，需要額外耗費大量資源，才能夠真正轉換為有價值酬勞。

隨著電子貨幣的普及化，任何民眾皆可透過便利商店進行電子貨幣交易，便於黑帽駭客取得贖金，也因此勒索軟體的攻擊方式在近年捲土重來。我們也可以預測，未來勒索軟體不會消失，而將會透過不同形式持續擴散。

為了能夠有效地防禦勒索軟體帶來的攻擊，建議企業應加強防禦機制。關鍵第一步從定期檢視內部及外部的資安風險開始。

在資安事件層出不窮的世代，企業應明確評估當前的資訊架構及緊急應變措施，是否能負荷現今的外部資安威脅。

然而，風險會隨著時間及技術演進而改變，因此唯有透過定期檢視，才夠有效衡量風險指數，並有效抑制及降低受侵害的範圍。

同時，定期培養網路使用的資安意識，也是防患資安攻擊於未然的核心要素。即使現代企業的資安防護機制再完善，也不敵人為疏失的弱點。

因此，建議企業每年應定期針對員工，舉辦資安認知教育訓練，用淺顯易懂的方式傳達日常電腦操作的安全原則，或是進一步安排模擬演練，透過高真實度的模擬原則，有效評估企業員工的認知是否符合預期。

而企業也可建立外部威脅情資蒐集管道，即時追蹤威脅資訊，以全盤了解黑帽駭客的潛在目標及攻擊能力，並縮短企業反應時間。

未來，企業的資訊安全關鍵，將取決於企業是否有能力取得及判斷威脅的情資，進行有效的追蹤及預防準備措施。

資訊世界變化多端，企業資安意識應領先於黑帽駭客，而非僅止於持續修補黑帽駭客所造成的傷害，因此擁有更全面性的策略視野及知識框架，才能夠事前洞悉企業弱點，且有效地對新型態攻擊進行防禦。

(本文已刊登於2017-05-26/經濟日報/A17/經營管理)