BSI 蒲樹盛：資安風險是全球成長最快的科學風險

（本文為 2018 網路資訊「無邊界網路安全研討會」台北場之會後報導）

「數位轉型不是單純調修一下現行組織或流程，而是如蝴蝶般蛻變，樣態截然不同。」BSI 英國標準協會總經理蒲樹盛以自身公司為例，人資部門不再是傳統招募模式，而是長時間在各人才庫及社群網站上與人互動、結交朋友，一有需求時即可快速找到人才。

數位轉型的精神之一即是善用資通訊技術，與傳統招募活動相比，轉型後的招募效率與精準性大幅提升，如果企業不進行數位轉型，則自己現有的人才有可能被其他企業以新招募方式挖走，由此可見嚴重性。人資招募活動僅是一例，財務、研發、業務等均是，數位轉型是全面性的，企業內各部門、各活動均要面對，相同課題也落在資安防護上，今日的資安防護如同軍備競賽，未跟進者安全堪慮。

蒲樹盛總經理以世界經濟論壇 (WEF) 的風險報告來標定今日資訊風險的位置與動向，雖然在全球風險中，威脅最大的仍是極端氣候、天災等風險，但屬於科學風險的資訊、資安風險卻是成長最快的，不容小覷。

而往未來看資安風險將更加嚴峻，物聯網的普及有可能導致物與物的相互資安感染，而量子運算技術的發展也可能使密碼破解運算力大增，使現行普及運用的加密防護技術失效，此為「量子霸權」的疑慮。

此外企業也要面對各國區日益嚴苛的資安法規，法遵合規也成為一項課題，以紐約州新通過的法案而言，會要求金融業自行擬定與呈交內部稽核計畫，不夠完善將加強查核行動，嚴重者甚至由政府指派資安專責者到該企業督導，專責者的薪水也要由該企業支付，年薪達 20 萬美元。

面對數位轉型的機會與資安風險，蒲樹盛總經理主張企業當從四個面向著手，分別是策略面、管理面、技術面、法遵面。策略面企業當建立自己的資安維護計畫，推動資安攻防演練、通報應變程序；管理面則當有與企業管理相同的 PDCA 概念，不斷計畫、行動、檢討、修正，同時訂立資安政策，將企業內的資訊資產分級分類，再給予不同的防護。

在技術面上，入侵偵測、端點防護等必須建立，特別是近期的駭客也開始運用人工智慧技術來發動攻擊，所以防護上也須導入人工智慧機制；法遵方面也在今年 6 月通過資安管理法，公務機關須指派資安長，非公務機關雖然尚不用，然一旦發生資安事故，有無專責資安長也可能成為究責的一項，或者企業有與公務機關有業務往來，未來也可能被要求設立資安長或對等層級的窗口。

了解四個面向後，企業當自我檢視四個面向中何處較薄弱？何處較迫切尋求改善？同時衡量企業自身的資源與能力，自現行較薄弱處、較迫切處優先補強，以因應未來挑戰。