企業主重視資安卻事倍功半?如何不必養人也能資安百分百

根據經濟部《2019年中小企業白皮書》指出,2018年台灣中小企業占全體企業的比例高達97.64%,如此龐大且無招架之力的族群,豈非成為駭客眼中最具攻擊效益的待宰羔羊?

在談到中小企業對資安預算與採用方案類型上所面臨挑戰之前,讓我們先定義一下何謂中小企業。所謂中小企業是指營業額在新台幣8千萬至1億元或員工數在50到250人之間者。除此之外,中小企業還具備一個普遍特性,那就是受限於經濟規模、預算與資源,其IT能量相對於中大型企業低得多,其中尤以勞力密集型的製造業、營造業及礦業,其資訊化的程度相對更低。

對於任何規模的企業來說,資安永遠是個無法逃避的議題,而預算及人力相對匱乏的中小企業,也難以改變自身資安防護能力無法與惡意攻擊者相抗衡的宿命,進而欠下不必要的資安技術債,並隨著攻擊技術的日新月異而「債臺高築」

不可否認的,絕大多數囿於有限資源及資金的中小企業,其重心絕對優先放在核心產品的開發與關鍵業務的推展上,剩下極小比重的殘餘資源再搭配上僥倖的心態來面對資安,也因為如此,中小企業自然成為駭客發動攻擊的主要目標之一。根據經濟部《2019年中小企業白皮書》指出,2018年台灣中小企業占全體企業的比例高達97.64%,如此龐大且無招架之力的族群,豈非成為駭客眼中最具攻擊效益的待宰羔羊?

數聯資安資安管理平台發展處副處長黃繼民表示,有一定數位化程度的中小企業,因為缺乏面對資安威脅的能力,反而更容易招致加密勒索甚至DDoS等各種惡意攻擊的洗禮。

只顧賺錢不顧資安的老闆  往往也賺不到錢

中小企業老闆的資安意志會完全反應到整間公司的資安防護力、資安觀念意識及資安基礎設施駕馭能力等層面上。但許多中小企業老闆經常缺乏資安概念與能力,同時全公司最多機密的端點裝置莫過於老闆的電腦與手機,如果該公司缺乏良好的端點防護機制,那麼面臨資料外洩與加密勒索的風險自然居高不下。

即便花了大錢購置的資安防護設備,也缺乏足夠的資安人才辨識及處理資安事件,甚至連相關組態的設定都無法駕馭,致使根本無法充份發揮該有的防護作用。可怕的是,電商機密側錄、商業電子郵件入侵(BEC)詐騙、加密勒索、APT攻擊與端點挖礦攻擊等層出不窮的資安事件,一直不斷上演著,中小企業如果遲遲沒有破釜沉舟的決心的話,這些戲碼只會愈演愈烈。

吊詭的是,有一定數位化程度的中小企業,因為缺乏面對資安威脅的能力,反而更容易招致加密勒索甚至DDoS等各種惡意攻擊的洗禮。他們在資安方案的選擇上偏向自建模式但又缺乏駕馭的能力,讓整體資安防護效益不彰,進而更加打擊他們持續投資的意願及決心。

相對於雲端訂閱式資安方案,自建方案在軟硬體方面會有較高的採購、維護及保固成本,更別說還有需要更多人力與心力的軟體/韌體的更新、升級與漏洞修補管理作業。一旦這方面工作沒有做好,只會讓公司在資安防護上「漏洞」百出,憑添惡意攻擊上的風險與損失。對於預算人力有限的中小企業而言,不但無法享受自建方案的好處,反而會將上述缺點放大。

培養資安人才難速成   5×2≠10

在資安界,5位擁有2年經驗的資安從業人員,可能抵不過1位擁有10年雄厚實戰資歷的資安專家,這說明了資安實戰經驗與資歷的重要性。一位資安人才的養成必須分成三個階段來培訓出專業的資安問題識別能力、資安事件實戰經驗,以及攻擊緩解與損害控制的執行力,由此可見資安人才的培養絕非一蹴可幾的易事。

最令人不解的,當前大專院校裡充斥著各種專業,但卻完全沒有資安相關的系所與學位,這使得資安人才炙手可熱、「一位難求」,甚至形成全球性的資安人才荒,試問在此情況下,中小企業要如何在人才爭奪戰上贏過中大型企業,更別提旗下養成人才會被中大型企業高薪挖腳的可能性。

許多世界級資安專家莫不一再呼籲政府與企業務必成立資安專責單位,以確保資安專業的獨立性。即使是中大型企業也不見得完全做得到,更遑論「專業放兩旁,兼職多工擺中間」的中小企業。所以即使有資安專家願意以正職甚至專業駐點的模式待在中小企業,也很難被「專業獨立」對待,甚至有淪為雜工的可能性,最終公司想要的資安防護初衷將永無實現的一天。

中小企業需要的是資安保護力  不是比賽資安人力

既然資安人才的招攬、培育、養成與挽留這麼困難,何不交給專業的資安服務商來解決?數聯資安資安管理平台發展處副處長黃繼民表示,數聯資安打造了可以讓不同等級的資安人員在各種實戰中逐步累積與成長的資安人才資源共享池。換言之,透過訂閱制的資安雲端服務,中小企業可以完全省去資安基礎設施在建置、設定、更新、維護、汰換上的成本與麻煩,更能享受到能因應各種資安威脅的超然資安專業與防護。

值此疫情大流行時期,訂閱制資安服務可以提供有如醫療級口罩般正確又完備的安全防護,以及勤洗手般的正確安全防護措施與輕鬆步驟。即使中小企業也可藉此做好資安防護的超前部署,就算真的遇到資安事件,也能儘可能縮短資安空窗期,讓損害降到最低程度。

※您是中小企業主或是IT管理人員嗎?歡迎參加「中小企業數位轉型資安挑戰大調查」,您將不但可以獲得調查結果報告,還有全家冰淇淋電子兌換券,陪您度過炎炎夏日。
參與大調查:https://event.netmag.tw/202006issdu/

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416