「同業友人中了勒索病毒,我應該不會這麼衰吧?」
「我只是一個做進出口貿易的中小企業商,公司資料也沒什麼好偷的。」
「資安防護我們也有買軟體了,做到這程度應該就安全許多了。」
以上狀況是否就是你們公司日常會發生的對話呢?許多台灣傳統中小企業常常抱持著這種僥倖心理,但是卻誤入邏輯誤區:資安攻擊千變萬化,風險的來源不一定是中小企業者的過往經驗能判斷出來的。甚至,哪些公司資料有沒有價值,也不是老闆說了算!
例如一個做進出口貿易的傳產企業,訂單都是 line 上面跟客戶對話就算成案,頂多再用 email 發送確認信件。你可能會遇到以下的攻擊狀況:
狀況一:自家員工被釣魚信件騙,白白損失千萬台幣訂單
駭客潛入收款方公司,假造收款員工 email 寄信給付款方,說要更改收款帳戶或是收款方式。兩邊窗口不疑有他直接更改,一筆千萬台幣訂單貨款就不知不覺的被駭客偷走了。
從日常 IT 全面杜絕釣魚信件, 做檢測了解更多
狀況二:駭客拿 A 公司當跳板,目的是為了養套殺整個產業鏈
你的企業可能今天被駭客偷了幾筆資料,乍看之下對企業本身沒有太大影響,但是駭客醉翁之意不在酒。資深的駭客,可以從一筆從周邊衛星廠商,算出主要潛在攻擊對象的產量、出貨量。等駭客掌握整個供應鏈資訊與產業環節的定價策略,一次能造成的殺傷力是整個生態鏈都抵禦不了的。
2019 年許多台灣傳統企業開始進入初階段數位轉型歷程,對於結合數位工具進入日常營運管理仍有觀念還沒轉換過來。微軟全球資安技術長 Diana Kelley 表示:「資安應該是一個企業風險衡量的過程。」她建議,不要把資安當作一個技術裝備。
微軟全球商務支援中心資訊安全暨風險管理協理林宏嘉表示:「資安議題就是台灣企業在做經營風險控管的最大盲點。」中小企業主每天都在面對外部競爭對手挑戰與經營風險,但漏了資訊安全這個項目對於營運的風險日漸增長。
只要一被攻擊,就代表你的企業比對手還要弱兩倍
只要有資安事件發生,林宏嘉指出,企業與競爭對手的差距就會變成兩倍。因為需要停下來檢查到底發生問題,而且短時間內無法再度展開高速創新。對手也會因為知道這環節可能會出事而去繞過風險。
另外一個中小企業主會忽略的狀況是「大家都覺得有買資安軟體就好」,可是許多資安的問題是出在人與工作流程上,而非資訊技術問題。Diana Kelley 指出,很多時候做資安應該是管理者的責任,微軟發現工作流程優化(人的工作方法與資訊串流上的規範),輔以技術平台強化資安是比較好的方法。
這代表,管理者反而要從日常小細節去走過一次流程才能抓出安全漏洞,例如誰有權限可以打開機密檔案、檔案下載是否有限時、員工可否轉寄/列印機密檔案… 等等。從細節去防止公司資料外洩的可能。林宏嘉建議,台灣中小企業必須要依照自己的產業狀態、公司需求去決定自己的安全標準要做到多高,法律、國際貿易、生技產業等不同服務,會遇到的資安問題也不一樣,不是花比較多錢就等於比較安全。
台灣企業經營缺少的概念「怎麼務實面對風險?」
做資安反而要更聰明的去看,生產環節哪一塊風險最高,務實面來看就應該先處理這個,而不是鋪天蓋地的投資源。把風險收斂到企業可以負擔的情況,作業流程的設計輔以技術來優化這個流程,這對經營者來講更重要,才能達成安全與盈利兼顧。
一開始馬上跳入技術討論裡就只會停留在技術迴圈裡,林宏嘉強調微軟的資訊安全解決方案並沒有因為強調安全,就在流程上讓員工覺得不方便。因此,中小企業主的角色反而更重要,如何在數位威脅增高的時代,仍然可以持續控制資源投放、員工流程與經營風險會是 2019 年的重大挑戰!
中小企業怎麼做訂單機密管理? 填資料再抽微軟 Surface GO 電腦
中小企業一定要 CIO 才能做資安嗎? 做檢測,找出競爭勝利新趨勢
(本文開放合作夥伴轉載。)
延伸閱讀
勤業眾信點出 2019 四大科技趨勢:政府應從現在開始打造「量子資安」策略
趨勢科技的 2019 資安年度大預測:駭客攻擊由 IT 轉向 OT,人機界面是主要漏洞
資料外洩最嚴重的一年!面對全新資安環境,未來五年的 4 個關鍵趨勢