中小企業數位轉型資安挑戰大調查結果發表！中小企業受疫情影響致資安困境加劇

受到全球性的COVID-19新冠肺炎影響，世界各國的經濟活動輪番上演停擺的戲碼，加上全球供應鏈在中美之間的貿易大戰衝擊下，不論何種類型或規模的產業都受到直接或間接的影響。

面對這樣的全球性劇變，企業紛紛開始尋求數位轉型之道，由於世界各國推動隔離、封鎖及社交距離政策，導致各種雲端及遠距應用大行其道，進而帶動了這個觀望多年的話題再度成為企業「向上提升」的熱門焦點。但不論是居家辦公或是數位轉型，都已經吸引到網路駭客從中看到了千載難逢的攻擊良機。

為了進一步探究當前台灣中小企業在疫下的數位轉型、資安防護與資安委外狀況，《網路資訊》雜誌與數聯資安合作進行「中小企業數位轉型資安挑戰大調查」活動，總樣本數達到2,800份的大活動的圓滿落幕下，在此特別就調查分析結果，歸納出幾個Insight供讀者們參考。

疫情衝擊中小企業  66%受訪者表示營收降低

本次調查結果顯示，這次疫情的確對大多數中小企業的營收造成影響，因為表示「營收受影響而下降」的企業就高達67%。由於這次調查來自製造業的受訪者比重最高，因此這波疫情大流行造成全球供應鏈中斷，的確對製造業的整體營收衝擊最顯著。

但是從調查中也觀察到，即使在疫情的壓力下，竟有高達近五成(49%)的中小企業選擇聽天由命而「沒有應變之舉」的佛系做法，反映了台灣中小企業的營運之道普遍存在消極的想法。反之，選擇「加速數位轉型」的公司只有12%，決定「加碼投資電商」的受訪者僅11%，採取「改變產品種類」措施的公司稍微多一點而有16%，但他們的比重都沒有超過2成。

有趣的是，經過交叉比對發現，上述近五成在營運上沒有任何應變之舉的公司中，有65%回報「營收變低」，只有4%表示「營收變高」，這顯示大多數公司即使營收大受疫情影響仍選擇以最消極保守的態度面對，當然也可能是因為營收銳減而沒有充足的預算投資的原故。

值得一提的，「營收變低」的企業中選擇「加速數位轉型」與「改變產品種類」的因應方式分別高達70%與59%，而選擇「加碼投資電商」的公司比例更高達9成，顯示出擺脫實體束縛的電商已經成為中小企業首選的應變方向。

相反的，疫情期間「營收變高」的中小企業則在其他投資或應變之舉的比例都很低，反映出中小企業保守（保本）的特質，或是將全付心力與有限資源灌注在本業上，而忽略了數位轉型的全球趨勢。

在數位轉型方面，受訪的中小企業在「無計畫」及「了解中」的比例佔大多數，顯示出在這波疫情的強烈衝擊下，令絕大多數的中小企業對於轉型改變的動機更趨於保守，而實際付諸行動的公司變得少之有少；在尚未可知疫情造成的產業經濟災難將持續多久的情況下，企業主的保守決策不得不以確保營收業績及求取安穩存活為首要，也因此而延緩轉型升級競爭力的計劃。

再就中小企業數位轉型所採取的建置方式來說，長年以來「自建系統平台」一直是主要的模式，即便是雲端平台服務已經廣為流行的今日，根據本次調查中發現高達89.6%的中小企業主要採取「自建機房」，而「雲端平台」跟「委外託管」總和僅8.9%；而即使是在未來的數位轉型計劃下，選擇「自行建立」仍有77.3%，願意採取「委託外包（含SaaS、PaaS等）」為22.7%。

雖然委外的比率提升許多，但由於多數中小企業主沒有考慮到資訊設備本身快速變化的特性，常以「資產設備」的觀念來看待資訊系統平台，因此企業主容易循著「資產設備」未達折舊年限之前，就不會輕易更動的舊觀念，來看待資訊系統平台，也相對不利於企業推動數位轉型的願景。

中小企業的資安人力不足  10%受訪公司交給一般員工

本次大調查受訪中小企業類型，以「製造業」的比重最高(36.43%)，這著實反映出台灣製造業有96%比例屬於中小企業的事實，同時突顯了該產業在疫下及疫後對數位轉型議題的重視。其次分別為「電子業」的10%、「電腦軟體與服務業」的7.14%、「電腦硬體」的5%與「金融業」的4.64%。

值得注意的是，就受訪者的職位分析，以「IT管理人員」的比重最高，達到61.07%，其次是「IT主管」，比重達到20.36%，「非IT職的一般員工」第三(10.36%)，「資訊長」第四(4%)，「安全主管」則占2.86%，至於「企業主」、「安全長」及「技術長」的比重都不到1%，由此可以看出傳統上台灣中小企業在資安議題的專責性尚未成熟。

目前國內的資安法推動效應還沒有擴及影響到一般企業，即使是對於資安嚴謹的金融單位也是在近一年來在主管單位的規範下要求設置「資安長」；而對於國內為數眾多的中小企業來說，資訊數位化及規模都尚未成熟之下，資安專責人員的編制確實太過沉重，有超過6成的中小企業將數位轉型及資安的重責大任交付給IT管理人員，而IT人員在欠缺資安方面的職能與資源下（也包括企業主的支持），往往在資訊數位化之中將資安議題「妥協」了，這無疑是當前中小企業的一大警訊。

不僅如此，甚至有超過1成的中小企業面對重要的數位轉型及資安議題，竟然由一般「非IT職的員工」負責，畢竟一般員工對於資訊也是一知半解，當然更遑論具備完善的資安專業知識與技能，多數一般非IT職的員工在老闆或主管交辦下而必須以兼任方式來負責多角色功能，乍看省下人力費用，實則增加更大的風險成本跟效率問題。由這次調查結果可以發現，中小企業一方面在這兩個議題上的相關資源及人力配置幾乎付之闕如，另一方面也突顯出他們可能缺乏該有的資安意識，乃至資安防護能力。

中小企業在傳統資安上所面臨的困境

長久以來，缺乏充足人力與資金等資源，一直是中小企業難以擺脫的先天致命傷，這兩個致命傷在這次大調查中毫無保留地忠實呈現。首先，「預算不足」成為受訪者採購資安設備上的最大挑戰，比重接近43%，毫不意外的，第二大挑戰出現在人力上，亦即約有24.29%的受訪公司「沒有足夠人力進行7×24全天候的資安監控」。其他挑戰的占比都很低且皆未超過1成，例如「資訊不足」(10%)、「人員能力不足」(8%)、「員工資安意識難以建立」(8%) ，以及「企業IT基礎設施環境很複雜」(7%)。

正因為當前中小企業缺乏預算，所以很難跟得上當前業界最新資安技術趨勢，乃至最新攻擊手法的更新速度與頻率，面對各種新型態的惡意攻擊，常因設備過於老舊而毫無招架之力。更悲情的是，中小企業好不容易花了錢購買資安設備，卻因為缺乏足夠人手與專業人才，而無法為設備做好適當及最佳化的配置與監控，進而難以發揮資安設備該有的防護實力與功效，結果和形同虛設沒什麼兩樣，甚至比沒買設備還糟糕。

中小企業對現有資安設備的不滿

接下來就讓我們看看，這次調查中受訪公司對於已購置的安全方案最常出現的缺點為何。其中最引人矚目的，回覆「完全沒有」缺點的受訪者比例僅佔0.36%，這等於明確指出，幾乎沒有一家受訪公司的已購置安全方案毫無缺點存在，這也說明了當前專門針對中小企業之安全方案本身的防護功效似乎存在一定比例與程度的問題。

調查中前四大缺點的比重相差不會太大，其中以比重達到31.79%的「無法確定防護成效」最高，「彼此間無法協同運作」及「每年需額外支付軟體維護費用」兩個缺點皆達到21.43%，並列第二。接下來的缺點分別為15%的「提供的工具不足，無法有效找出資安問題」、7%的「需檢視報表才知道發生了什麼事情」，以及3.21%的「判斷失準，影響正常營運」。

中小企業買了安全方案卻「無法確定防護成效」，通常只會有幾種情形，例如買了不適當的安全產品；產品沒有做好最佳化配置無法發揮該有功效；沒有產出例行性的日誌分析報表，或提供淺顯易懂的數位儀表板；安全方案買進來後就擺著，缺乏適當的更新與維護。這些有可能是廠商的因素，也有可能是公司本身的疏忽所致，總之，中小企業必須要有專人與廠商溝通以共同維護產品的運作。

至於「彼此間無法協同運作」的缺點比重這麼高，這不但是中小企業資安防護上最常見的通病與死穴，對於中大型企業來說也是難以完全解決的痛。除非中小企業導入像是SIEM之類的平台，否則個別安全方案之間要發揮協同安全與縱深防禦的效益是有很大難度的，人力、專業與經費相對薄弱的中小企業也不可能自行搞定這件事情。總而言之，以上種種都是中小企業在資安上難以避免的困境，唯一可以一口氣解決這些困境的可行安全之道就是訂閱制的資安方案。

中小企業的資安策略停留在過去？

除此之外，我們從調查到的「購置資安設備的排名」中也可略窺中小企業資安困境之一二。果不其然的，最傳統的網路型防火牆成為中小企業最愛買的資安設備，已購置的比重高達84%。對於大部分的中小企業來說，網路型防火牆幾乎就等於資安的代名詞，殊不知當前有許多較複雜的網路攻擊是網路型防火牆完全束手無策，甚至看不懂的，所以當前會有相對應的次世代防火牆(NGFW)與Web應用防火牆(WAF)的推出。但調查中，NGFW排名第六，已購置公司的比重連3成都不到(27%)，WAF竟然敬陪末座，比重僅21%。由此可見，大多中小企業根本不了解這兩款防火牆與傳統網路防火牆的差異，其網路防護上漏洞百出的嚴重狀況可見一斑。

除網路防火牆外，前三大購置比重最高的資安設備尚包括大家最熟悉的電子郵件安全(68%)及端點防護(45%)，但即使是端點防護其安裝比重也不超過5成，這樣的防護的觀念與策略，對於疫下及疫後的居家/遠距辦公的安全性絕對會有負面的影響。自此以降，包括DDoS防護(36%)、APT防護(28%)、網路流量分析與鑑識(22%)、資訊安全分析(22%)的購置比重都非常低，再再顯示中小企業的不重視與認識不足。畢竟中小企業的資源及經費有限，面對種類繁多的資安設備，也只能選擇若干最熟悉的項目。

解決資安困境的新思維：邁向訂閱制

過去傳統上，不論中大型企業或中小企業面對敏感性的資安問題都會尋求自建方案來因應。但隨著肺炎疫情在全球的大流行，企業對於線上各種雲端服務乃至訂閱制資安方案的接受度大增，其中尤以資源有限的中小企業特別明顯。

畢竟訂閱制資安方案的好處十分明顯，中小企業非但不再需要耗費金錢、時間與心力去採購、架設、配置及更新各種不同的資安設備與方案，也不再需要僱用並培養資安專業人才，包括軟硬方案的更新、最新防護技術與攻擊手法的分析了解，乃至協同安全的最佳化等所有的專業，全都交給安全服務供應商負責即可，中小企業唯一要做的就是定期瀏覽淺顯易懂的數位儀表板及分析報告。

從這次的大調查中就可以明顯感受到這樣的趨勢，受訪公司中表示願意接受訂閱制資安方案的比重不但過半，甚至達到60%，雖然明確表示「不願意」的公司也有40%，但已經算是顛覆性的大扭轉了。

由此可知，雖然中小企業尚未完全擺脫自建系統的慣性，但是在資安管理方面，已逐漸認知到「資安危機無盡，企業人力時窮」的現實，並體會到資安訂閱制方案所能帶來的優點，為中小企業的資安管理走出新時代的出路。