企業主重視資安卻事倍功半?如何不必養人也能資安百分百
根據經濟部《2019年中小企業白皮書》指出,2018年台灣中小企業占全體企業的比例高達97.64%,如此龐大且無招架之力的族群,豈非成為駭客眼中最具攻擊效益的待宰羔羊?
在談到中小企業對資安預算與採用方案類型上所面臨挑戰之前,讓我們先定義一下何謂中小企業。所謂中小企業是指營業額在新台幣8千萬至1億元或員工數在50到250人之間者。除此之外,中小企業還具備一個普遍特性,那就是受限於經濟規模、預算與資源,其IT能量相對於中大型企業低得多,其中尤以勞力密集型的製造業、營造業及礦業,其資訊化的程度相對更低。
對於任何規模的企業來說,資安永遠是個無法逃避的議題,而預算及人力相對匱乏的中小企業,也難以改變自身資安防護能力無法與惡意攻擊者相抗衡的宿命,進而欠下不必要的資安技術債,並隨著攻擊技術的日新月異而「債臺高築」。
不可否認的,絕大多數囿於有限資源及資金的中小企業,其重心絕對優先放在核心產品的開發與關鍵業務的推展上,剩下極小比重的殘餘資源再搭配上僥倖的心態來面對資安,也因為如此,中小企業自然成為駭客發動攻擊的主要目標之一。根據經濟部《2019年中小企業白皮書》指出,2018年台灣中小企業占全體企業的比例高達97.64%,如此龐大且無招架之力的族群,豈非成為駭客眼中最具攻擊效益的待宰羔羊?
▲數聯資安資安管理平台發展處副處長黃繼民表示,有一定數位化程度的中小企業,因為缺乏面對資安威脅的能力,反而更容易招致加密勒索甚至DDoS等各種惡意攻擊的洗禮。
只顧賺錢不顧資安的老闆 往往也賺不到錢
中小企業老闆的資安意志會完全反應到整間公司的資安防護力、資安觀念意識及資安基礎設施駕馭能力等層面上。但許多中小企業老闆經常缺乏資安概念與能力,同時全公司最多機密的端點裝置莫過於老闆的電腦與手機,如果該公司缺乏良好的端點防護機制,那麼面臨資料外洩與加密勒索的風險自然居高不下。
即便花了大錢購置的資安防護設備,也缺乏足夠的資安人才辨識及處理資安事件,甚至連相關組態的設定都無法駕馭,致使根本無法充份發揮該有的防護作用。可怕的是,電商機密側錄、商業電子郵件入侵(BEC)詐騙、加密勒索、APT攻擊與端點挖礦攻擊等層出不窮的資安事件,一直不斷上演著,中小企業如果遲遲沒有破釜沉舟的決心的話,這些戲碼只會愈演愈烈。
培養資安人才難速成 5×2≠10
在資安界,5位擁有2年經驗的資安從業人員,可能抵不過1位擁有10年雄厚實戰資歷的資安專家,這說明了資安實戰經驗與資歷的重要性。一位資安人才的養成必須分成三個階段來培訓出專業的資安問題識別能力、資安事件實戰經驗,以及攻擊緩解與損害控制的執行力,由此可見資安人才的培養絕非一蹴可幾的易事。
最令人不解的,當前大專院校裡充斥著各種專業,但卻完全沒有資安相關的系所與學位,這使得資安人才炙手可熱、「一位難求」,甚至形成全球性的資安人才荒,試問在此情況下,中小企業要如何在人才爭奪戰上贏過中大型企業,更別提旗下養成人才會被中大型企業高薪挖腳的可能性。
中小企業需要的是資安保護力 不是比賽資安人力
既然資安人才的招攬、培育、養成與挽留這麼困難,何不交給專業的資安服務商來解決?數聯資安資安管理平台發展處副處長黃繼民表示,數聯資安打造了可以讓不同等級的資安人員在各種實戰中逐步累積與成長的資安人才資源共享池。換言之,透過訂閱制的資安雲端服務,中小企業可以完全省去資安基礎設施在建置、設定、更新、維護、汰換上的成本與麻煩,更能享受到能因應各種資安威脅的超然資安專業與防護。
值此疫情大流行時期,訂閱制資安服務可以提供有如醫療級口罩般正確又完備的安全防護,以及勤洗手般的正確安全防護措施與輕鬆步驟。即使中小企業也可藉此做好資安防護的超前部署,就算真的遇到資安事件,也能儘可能縮短資安空窗期,讓損害降到最低程度。