微軟亞洲首席安全顧問皮耶‧諾伊:資安問題已經是CEO的問題,不再只是CIO的問題

微軟亞洲首席安全顧問皮耶‧諾伊:資安問題已經是CEO的問題,不再只是CIO的問題

近年來資安事件頻傳,諸如加密勒索軟體橫行、身份剽竊、資安攻擊組織化等趨勢,將企業資安防守戰線無限延伸、挑戰也更形艱鉅。台灣微軟特別邀請微軟亞洲首席安全顧問皮耶‧諾伊 (Pierre Noel)訪台,分享全球企業資安三大趨勢。

皮耶‧諾伊說明,近幾年來來,網路上的威脅以及攻擊已經產生了巨大的變化,在早期2000年到2004年,當時病毒純粹只是一些高手想要證明自己的能力,想要感染盡可能多的電腦,頂多造成你的系統感染、檔案消失,對於企業來說,除了資料的流失外,金錢上的損失並不多。

而到了2005年到2012年開始,勒索病毒開始崛起,有特定目標的入侵行為開始出現,在這個階段,駭客開始要的是錢,這形成了一種生意,基本上你的個資在網路上可以被販賣、信用卡帳號可以是買賣。

微軟亞洲首席安全顧問皮耶‧諾伊:資安問題已經是CEO的問題,不再只是CIO的問題

而到了2012年開始到未來,除了勒索病毒持續在進行之外,現在有更多的是國家級的犯罪行為,恐怖份子開始利用網路攻擊以及散佈危險資訊。在前一個階段受害者損失的是金錢,但到了現在這個時代,甚至可能會傷害到真實的生命。

 

駭客攻擊目標特定並講求經濟效率

在最近的幾個案例,無論是烏克蘭電力網路遭駭客攻擊導致大停電、孟加拉央行存放於美國聯準會聯邦儲備銀行紐約分行的存款遭駭客成功盜轉8,100萬美元、巴拿馬文件風波等資安事件,在在顯示資安攻擊已非以往隨機的攻擊,而都是有針對性的。

而現在的這些犯罪方式,不但更加組織化且更具經濟規模,儼然成為國家安全與企業營運的另一重大危機。

微軟亞洲首席安全顧問皮耶‧諾伊:資安問題已經是CEO的問題,不再只是CIO的問題

皮耶‧諾伊指出,「網路犯罪(Cybercrime)、駭客主義(Hacktivism)與恐怖主義(Terrorism),這些犯罪行動都有一個共通點,就是沒有規則可循。而所驅動的網路犯罪與攻擊,已在全球造成近1兆美元的損失,因而減損的生產力產值每年也高達3兆美元。

舉例而言,惡意軟體的攻擊成等比級數成長,光是行動惡意軟體數量就成長了250%,指向式攻擊頻率也增加了5倍;身份遭剽竊的數量也高達7,700萬筆。

皮耶‧諾伊表示,即便是守備嚴密的美國軍方與國防部都無法在資安攻擊中倖免於難,光是美國軍方約聘人員便有90,000筆E-mail 遭竊、美國國防部更有24,000個檔案遭竊,顯見資安攻擊的目標愈來愈特定也愈具經濟規模。

而當企業面對愈來愈猖獗且具針對性、大範圍式的網路攻擊該如何因應?皮耶‧諾伊表示,因攻擊的層次不斷升高、範圍不斷擴大,企業除了從軟體、硬體與雲端都應採用符合國際安全規範的服務外,也應及早教育企業內部使用者不當使用行為的危害,才能有效控管資安風險。

此外,由於現在的資安問題,已經涉及到不只是IT問題,可能還涉及到財務問題、管理問題、隱私問題...等等,這已經不是過去一般人以為的CIO或是CTO的問題,而是一個企業全面性的為提,提升到了CEO的等級。

 

CEO應將資安列為關注重點之一

微軟全球助理法務長兼台灣微軟公共暨法律事務部總經理施立成表示,據統計,2015年台灣中大型企業有80.1%曾發生資安事件。針對企業資安管理,以往都是CIO或CTO全權指揮,但面臨現在攻擊無孔不入、大小裝置都有可能遭受攻擊的資安現況,資安不但為CIO/CTO的關鍵業務執掌,也被視為是CEO關切的五大議題之一,顯見其重要性。

微軟亞洲首席安全顧問皮耶‧諾伊:資安問題已經是CEO的問題,不再只是CIO的問題

他表示,台灣的中大型企業,在2015年有80.1%發生過資安事件,而在2015年台灣因為網路犯罪所造成的損失總計也達到新台幣346億元,顯見資安問題不再只是報紙新聞上的事件,很有可能隨時會發生在你的企業。

微軟亞洲首席安全顧問皮耶‧諾伊:資安問題已經是CEO的問題,不再只是CIO的問題

在雲端應用布局是否能夠符合企業資訊安全策略與規範,進而促成企業轉型並提高生產力,有賴供應商善盡管理、監督與提供技術支援。因此,選用符合國際安全標準驗證的供應商,也可確保供應商能提供符合國際標準要求的資訊安全管理制度,協助企業從資訊基礎建設、裝置乃至使用者行為都能有效管理,預先架設完備的資安防護網。

無論是BYOD、BYOC、物聯網感測裝置或行動裝置,僅針對裝置進行安全防護已無法抵擋資安攻擊的無孔不入。此外,隨著社群網絡與相關應用興盛,工作與私人領域的界線日漸模糊,使用者的行為反而更顯重要。如何從下而上築起資安的防線,透過科技輔助重塑資安企業文化,將是高階經理人責無旁貸的管理課題。

皮耶‧諾伊針對規模與影響範圍日漸擴大的資安攻擊,提出了四大主要防範原則的建議:治理(Governance)、可課責性(Accountability)、與企業文化相容程度(Compatible with the Culture)與動態的風險管理(Dynamic Risk Management)。他並且建議企業在既有的文化內,能夠推動使用者資安意識提升,並進而改變使用者行為,才是確保企業資安治本的辦法。

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則