統計上市櫃重大訊息 看資安對於內部控制制度革新之必要

一、 前言：

證交所與櫃買中心在2021年8月公告更新上市(櫃)公司重大訊息之查證暨公開處理程序，將資通安全事件納入重訊發布的條件。2024年5月及7月，證交所與櫃買中心前後針對何謂資通安全事件之重大訊息於問答集中更新說明，資安重訊發布的條件：「...公司之資通系統、官方網站或內部文件檔案資料等，遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊(DDoS)等，致無法營運或正常提供服務，或有個資、內部文件檔案資料外洩之虞等情事等」。2024年9月修訂「上市上櫃公司資通安全管控指引」，新增遠端存取資通系統之管控機制、公眾活動場地之電子看板設備管理、年報應敘明資安政策、管理方案、投入資源、重大資安事件之損失與可能影響及因應措施等，並鼓勵導入與驗證ISO 27001標準、評估通過美國註冊會計師協會(AICPA)SOC 2之Type 2合規報告等。

基於重大訊息發布資安事件條件之變更，勤業眾信團隊分析近三年的所有重大訊息內容，供企業在公司內部控制資訊治理上之參考。

圖一：統計2022年1月至2024年11月近三年上市櫃重大訊息

(資料來源：公開資訊觀測站；整理者：勤業眾信)

二、  重大訊息統計分析

勤業眾信團隊透過數位工具抓取臺灣證券交易所的公開資訊觀測站在統計區間內全部上市、上櫃、興櫃公司的重大訊息，分析從2022年1月1日~2024年11月30日 共1,064天、2,216家上市/上櫃/興櫃公司、219,860筆重訊資料，下列為分析結果：

圖二：各產業資安重訊發布統計

(資料來源：公開資訊觀測站；整理者：勤業眾信)

重大訊息內跟資安事件相關共871筆，「電子零組件業」發布的資安重大訊息最多，雖仍以資安長設立與異動之重大訊息為主，但其與「半導體業」所發生的資安事件重大訊息最多，顯示資安事件對於電子零組件業和半導體業的影響較大。

圖三：近三年重大訊息揭露的資安事件共計112件，以網路攻擊占比最大宗，個資外洩次之

(資料來源：公開資訊觀測站；整理者：勤業眾信)

近三年重大訊息揭露的資安事件共計112件，屬於網路攻擊的資安事件占最大宗42%，但由於重大訊息或相關報導中並未揭露更多的資訊了解其產生之原因，以致無法進行更細緻的分析，但可確定是外部駭客攻擊所致。而資料侵害事件(疑似個資外洩、勒索軟體—資料加密、勒索軟體—資料外洩、疑似資料外洩等)合計達36%，顯示企業需在內部控制制度革新，強化對資料保護已是當務之急。

值得注意的事，從2024年5月證交所修改重大訊息發布條件，首次將DDoS分散式服務阻斷攻擊納入後，2024年9至10月因親俄駭客團體NoName057 對台灣發動大規模DDoS攻擊，疑似DDoS攻擊比例在急遽上升，佔整體資安事件的10%。

圖四：2024年資安事件重大訊息數量已超過2022年與2023年兩年的總合

(資料來源：勤業眾信)

以發生資安事件重大訊息的時間軸來看，2024年資安事件重大訊息數量已超過2022年與2023年兩年的總合，且資安事件數量從2023年11月時就已開始上升，在2024年3月及5月證交所擴大重大訊息發布條件後更顯著呈現上升趨勢；綜合近三年的資安事件重訊統計，每年資安事件的成長率皆翻倍式成長，其可能原因包含 (1)上市櫃公司對於揭露資安重大訊息的意願上升；(2) 整體上市櫃遭受攻擊的比率增加。

三、 風險緩解

美國國家安全局(NSA)、網宇安全和基礎設施安全局(CISA)在2023年10月5日聯合發布旗下紅藍隊分享資訊架構、系統、網路的十大錯誤設定，這些設定配置不當容易讓駭客利用而展開攻擊，勤業眾信列舉一些重點同時也提出實務做法供企業參考：

1. 軟體及應用程式的預設配置(Default configurations of software and applications)：系統、服務和應用程式的預設配置可能允許未經授權的存取或其他惡意活動，如：預設密碼、預設權限設定、預設設定，這些應該在部署到正式環境前進行修改。
2. 使用者與管理員權限的分離不當(Improper separation of user/administrator privilege)：實施嚴謹的身分驗證、授權與可被歸責性，並配合有效的職務區隔，實施變更管理，避免舞弊或未經授權的活動。
3. 內網監控不足(Insufficient internal network monitoring)：駭客入侵後會在企業內橫向移動以尋找更有價值的系統或資料，因此強化偵測內網的異常活動將有助於提早發現受駭跡象，如：內網部署入侵防禦 (IPS)、網路偵測與回應(NDR)、代管式偵測與回應(MDR)。
4. 缺乏網路區隔(Lack of network segmentation)：正式環境、測試環境、開發環境應在網路層分段隔離以外，OT生產線、各部門之間亦是，考量引入零信任網路架構，透過次世代防火牆進行微分段(Micro-segment)更精確保護企業重要資產。
5. 補丁程序管理不善(Poor patch management)：缺乏定期修補、使用不支援的作業系統和過時的軟(韌)體是常見被駭客入侵的主因，近期常見漏洞與暴露(CVE)高風險漏洞發布到駭客實際攻擊往往不到幾週，企業如何在日常維運及補丁時效取得平衡，正考驗資訊長及資安長的決策。
6. 繞過系統存取控制(Bypass of system access controls)：身分驗證機制應該伺服器端執行，登入正式環境系統應限制僅授權設備(如：跳板機/堡壘機)，並禁止同網段內的橫向登入。
7. 薄弱或設定錯誤的多因子認證方式(Weak or misconfigured multifactor authentication (MFA) methods)：普遍實施多因子認證(MFA)，避免網路釣魚存取權限、機敏資料，逐步汰換過舊的驗證機制(如： LAN Manager (NTLM))。
8. 進行服務與分享時，缺乏對網路ACL管控(Insufficient access control lists (ACLs) on network shares and services)：對所有儲存設備僅向授權使用者授予存取，對重要資訊資源採用最小權限原則，如：來源、目的地網段或連接埠開放過大者、ACL開放卻沒有封包都應避免、對於Server Farm網段所有開放連線都應審查與限制。
9. 憑證衛生不良(明文密碼洩露) (Poor credential hygiene)：不要跨系統重複使用同樣的本機帳戶密碼、有足夠的密碼長度與複雜度、非密碼式的身分驗證，如：憑證檔案宜定期更新，建議考量使用特權帳號託管服務或第三方軟體來實施安全的密碼儲存。
10. 程式碼執行未受到管制(Unrestricted code execution)：企業實施白名單軟體清單，啟用系統設置，以阻止安裝從不受信任的來源下載的應用程式，並清查系統上執行的腳本(Script)避免執行未知或非法的指令，最後應強化邊界的進出安控，如：電子郵件過濾機制、上網內容的危險過濾。

圖五：美國國防部零信任框架，資安七大支柱(The 7 Pillars of Zero Trust)對資料保護的建議作法

有鑑於資安事件重大訊息中資料侵害事件(疑似個資外洩、勒索軟體—資料加密、勒索軟體—資料外洩、疑似資料外洩等)合計達36%，資料保護已刻不容緩，建議可以參考美國國防部零信任框架，從使用者、裝置、應用程式、資料、網路、自動化、可視化這七大支柱(pillar)相關規範，其中資料保護作法如下：

• 資料分級、標示(tagging)：將企業的文件分級分類，並針對機密文件進行標示或加標籤，以利標示與後續加強控管。
• 資料外洩防護(DLP)：透過關鍵字、次數閥值在所有進出閘門進行過濾與阻擋，如：裝置儲存硬碟、USB、藍牙、電子郵件、IM(Line/Teams)、雲端儲存空間(OneDrive、Dropbox、Google硬碟)、網路Webmail等。
• 資料存取控管：可透過數位版權管理(DRM)實作，如：微軟O365對於AIM的運用。DLP在邊界進行過濾，但萬一未成功攔阻，資料就外洩出去，而DRM則補齊這不足，它透過自動化或人工標示、分類文件等級後，透過僅授權的帳號方可存取或列印，若非授權就算被外傳或洩漏亦無法開啟該文件(或郵件)。
• 資料加密和權限管理：可透過資料庫加密或遮罩進行機敏資料的保護。
• 資料監控和感測：透過上述工具所產生的日誌彙整，再透過SIEM資安事件管理平台進行關聯性分析，以監控、追蹤文件被存取的情況。

四、 結語：翻新內部控制制度，強化資訊循環與時俱進

2023年COSO委員會(Committee of Sponsoring Organizations of the Treadway Commission)出版最新的內部控制相關文件，將永續性納入內部控制的一環，不再只是財務、法遵面，應從企業整體來考量永續發展，因此除了公司治理外，環境、社會影響也應納入，並透過跨部門合作與內外部利害關係人的持續溝通，來達成永續的目標。此外，在COSO五大要素17項原則中，個體要關注新興議題，以達成永續目標，善用新興科技(比如：AI、雲端服務、區塊鏈、綠能)時，也應評估這些新興科技所帶來的風險。

透過統計分析台灣上市櫃公司所發布的資安重大訊息，勤業眾信觀察到幾個現象：

• 2024年到11月底重大訊息揭露的資安事件達72件，已超過2022、2023兩年共40件的總合。
• 在2024年9、10月親俄駭客團體NoName057對台灣發動大規模DDoS攻擊造成資安事件有顯著的上升。
• 資料外洩的越見頻繁，已有實際案例因而造成訂單被取消。
• 資安重大訊息的發布僅有事件的受害方被要求發布資安重大訊息，但產品或系統的供應商卻未有發布重大訊息之義務，2024年7月CrowdStrike大規模藍白畫面事件造成全球眾多企業系統停擺就是一例。

近期資安重大訊息的數量大增，台灣儼然已進入無煙硝的網路攻防時代，企業持續更新與強化內部控制制度的資訊治理已是當務之急，勤業眾信在過去有豐富的輔導及諮詢經驗，相信可以協助企業進行內部控制制度的健康檢查，診斷問題並提出改善建議，納入永續與數位韌性的設計，使內部控制制度能與時俱進，以因應新時代的挑戰。