iThome
网路安全带来的威胁越来越严峻,使企业营运持续面临重大挑战,加上最近百工百业迅速采用AI的态势,企业在看重增加竞争力的同时,也面对安全AI使用与部署的新难题。
近年来,日益复杂的网路安全格局对经济有深远影响,不只是过去的资安事件已在在反映出,网路攻击与更广泛的经济环境息息相关,另一方面,难以有效量化资安风险的问题,这几年我们也看到这方面有诸多探讨。
例如,最近几年的台湾资安大会上,至少有两位专家的演说强调企业应该采用定量风险分析模型(FAIR),因为可将资安风险量化成以金钱为单位,而在2024美国黑帽大会期间,资安业者趋势科技揭露用AI帮助计算风险损失金额,并在管理介面新增这样的指标。
对于网路安全与经济的影响,我们还能如何看待?
最近世界经济组织(WEF)发布一份《2025年全球网路安全展望》报告,相当值得参考,因为当中特别从六大构面的交互影响去看待整体变化,涵盖地缘政治、网路犯罪、供应链,到法规合规、AI风险,以及资安人才短缺。
世界经济论坛发布的网路安全2025展望报告当中,特别将资安经济学列为一大主题,突显网路攻击对经济的影响,以及网路安全环境日益复杂,当中也呼吁企业需将资安威胁视为企业风险,而非纯粹的技术挑战,并且将资安当成策略性投资,而非营运成本。图片来源/世界经济论坛
特别的是,在探讨上述网路安全的复杂程度之余,WEF还提出了特殊观点,彰显「网路安全经济学」(Economics of cybersecurity)的议题,明确呈现网路攻击对于经济层面的影响。
为了帮助大家了解这方面的资安态势,我们找上BSI英国标准协会的专家,请他们解读,该公司之前经常阐释WEF的年度全球风险报告,解析数位信任与永续的全球局势。
WEF资安经济学呈现5个重要现象
● 网路攻击与整体经济环境紧密相连,从过往的资安事件可以获得证实。
● 网路安全应视为投资而非成本,企业组织需量化资安风险及其经济影响。
● 资安长需将资安风险视为企业风险,并从业务连续性、企业声誉及财务影响等角度来解释资安事件。
● 日益复杂的网路安全环境,加剧资安不平等现象,资源有限的中小企业更容易成为攻击目标。
● 让资安投资与企业其他优先事项取得平衡值得深入探讨。
资安应被视为未来的关键投资,而非单纯的营运成本
对于WEF提出「网路安全经济学」的概念,BSI英国标准协会台湾分公司营运长谢君豪表示,这有助于大家从不同角度审视网路安全议题。其中有许多观念早已为人所知,但WEF 以「网路安全经济学」一词诠释,确实是相当恰当且具有启发性的表达方式。
近年来,WEF持续统整网路安全局势的变化,提供企业强化资安防护的关键考量层面,而在WEF前几年的相关报告中,通常强调4个重点面向,今年比较特别,因为涵盖了更多议题,进一步呈现当前资安挑战的高度复杂性,同时也从经济角度来突显问题。
谢君豪指出,WEF这次综观全球网路安全所有重要议题,提到一个很重要的观点:企业组织在应对网路安全的策略上,不能将资安当成是一种「成本」,而是要当成「投资」。
这样的观念相当具有启发性,但台湾企业需要一些时间理解。原因在于:资安投资往往很难看到成效,只有在真正发生资安事件、带来影响时,以及上市柜公司发布资安重讯时,企业高层才会觉得必须要投入。
此外,由于网路安全环境日益复杂,现行各类法规开始要求董事会更加关注网路风险,因此,资安长需将资安威胁视为企业风险,而非纯粹的技术挑战。
谢君豪认为,这部分也就是他们一再强调的:企业组织管理层要给予更多的支持,现行主管机关对于企业组织的资安要求逐步提高,其实也是基于同样的道理,还有像是独立董事需具备资安专业背景,组织内部要建立当责制度,这些议题都很关键,但需要让更多企业重视与做到,还是需要时间去改变。
此外,WEF从商业模式看待问题,谢君豪亦认为这是不错的观点。例如,过去资安解决方案随著各种威胁态势迸发而成形,现在网路犯罪领域也发展出有利可图的生意,成为另一种市场经济型态的体现。
还有威胁日益严重之下,为了降低企业财务冲击,资安保险成为一种商业模式。而在保险费率与理赔的精算上,这也与资安风险量化其经济影响有关。
换言之,不论资安投资或网路攻击的财务影响,对于企业而言,随著网路风险渗透到企业更多领域,企业必须将资安风险管理与市场风险管理,有同等的对待方式。
尽管资安经济学仍是尚待深入探讨的领域,但从经济角度出发来提升资安韧性的论点,已经令人难以忽视。
资安能量差距扩大,了解国内SI厂商资安能力强弱势在必行
另一焦点在于,日益复杂的网路安全局势,更是造成网路不平等(Cyber inequity)扩大的状况。根据WEF的观察,拥有足够资源与能力来强化资安的企业,与那些没有足够资源与能力的企业,彼此之间的差距正在扩大。
对此议题,谢君豪认为,不论前述的网路安全复杂程度,以及大型企业、小型企业,大家所面对的挑战都不同,这与台湾企业组织面临的状况很相像。
以台湾上市柜公司为例,单从公司规模来看,台湾证券交易所画分出三个级别。例如,第一级公司是资本额100亿元以上,或是前一年纳入台湾50指数,以及电子商务与人力银行产业;第二级公司的数量占绝大多数,虽然这些公司有赚钱,但规模上有很大落差,有资本额90亿的公司,也有资本额不到10亿的公司;第三级公司则是最近3年度税前纯益有连续亏损的公司。
换言之,同样都是上市柜公司,彼此的规模与能量仍有很大落差。
再从国内金融业与电信业来看,资安已经是做得相对较好,但即便像是金融业,虽然受到高度监管、资安投入较多,同样存在规模大小不一的现象。像是我们有大型银行也有地方银行,银行与证券的能量也完全不同,这些都与经济规模、获利有关。
因此,在面对这样的态势下,全球已在强调需要公私合作,以及资讯共享与威胁情报,包括透过电脑危机处理中心(CERTs),以及资安资讯分享与分析中心(ISAC)来联防。毕竟,不论台湾或国际间,许多公司仍处于建立网路韧性文化的初期阶段,甚至还要有更多国际联防。
此外,资安不平等的态势扩大,资源有限的中小企业更容易成为攻击目标,政府如何透过提供帮助、要求规范,或是激励措施,也成为重要考量面向。
这方面台湾已经越来越看重,例如,资安法针对8大关键基础设施祭出要求与规范,以及建置各领域I-SAC推动资安联防,台湾电脑网路危机处理暨协调中心(TWCERT/CC)也扮演关键角色。
另外,政府主管机关也会借由针对上市柜公司规范种种资安要求,促进更多产业行动,并且也祭出资安投资抵税等激励措施。
但若从现况来看,还有其他环节也要我们投入关注,谢君豪特别点出系统整合厂商(SI)的状况。
这是因为,随著供应链越来越复杂,当企业在将资安风险视为企业风险的同时,不只是要人、要钱、要技术,还要跨单位配合,而且,现在大部分企业也运用更多的新兴科技,但一些企业内部仍是以同样的IT团队来管理,而委外就有其重要性,因为企业可能自身没有如此多的控管能量,但委外要如何监督?
谢君豪举出一个场景,说明当中可能发生的问题。以SI厂商工程师使用的笔电而言,就有公司提供分期补助、员工自行购买的状况,谢君豪接著问道:「这台电脑的系统与软体与更新,是谁在负责管理?」
其实这样控管不一致的情形早就引发讨论,谢君豪认为,现在政府开始要求SI厂商做好资安,同样相当重要。
至于资安投资权衡的问题,除了上述资安风险如何量化为金钱,还有资安投资如何与企业其他优先事项取得平衡的问题,同样值得大家探究。
AI新兴科技带来新机会与风险,应对时须建立资安文化
WEF在网路安全复杂性的议题中,亦谈讨AI与新兴科技风险的议题,在去年底举行的国际资安标准管理年会上,BSI亦呼吁重视AI科技风险,因此,我们也请谢君豪多谈谈这方面的看法。
谢君豪指出,BSI这几年非常重视数位转型,对于一间已成立120年的公司而言,新的变化相当之大,而且现在他们公司仍是每星期有两天居家上班。他并认为:「从远距办公,就可以测试一间公司的资安是否够好。」
谢君豪表示,现代企业须体认到:不仅网路威胁的变化速度极快,数位化与科技革新的步伐也在迅速加快,未来几年,每一年的发展可能都相当于过去十年的累积变化。
随著AI技术广泛应用,且持续高速演进,我们不难预见其将对工作方式产生显著影响。因此已有许多专家强调,未来AI势必与人类形成互补关系,但我们更要积极提升自身专业能力与竞争力。
谢君豪更是谈及BSI自身经验,说明不仅企业要激发大家应用AI,也要教导使用AI的同事们具有正确的观念。
例如,BSI在最近召开针对公司内部半年一度的年会中,根据员工对新知的需求,举办多场不同主题的AI工作坊,例如,如何利用AI规画旅游行程,使用NotebookLM等工具解析复杂文件,以及运用Gamma AI建立与优化简报。透过这样的分享活动,可以启发大家对生成式AI的应用。
同时,建立正确的AI使用观念很重要。因此,他们也在这场公司年会上,持续对全体员工传达生成式AI的使用原则。谢君豪表示,其实,BSI过去两年已经积极探讨如何将AI应用于工作流程,像是强化教育训练、稽核的任务,或是分析多年来发现的缺失,找出弱环节列为稽核重点。
事实上,BSI很早就制定并公布生成式AI使用原则。具体而言,公司该做的控管都会做,但同时也会教育重要观念,像是员工仅能使用公司授权的AI服务,若要使用其他AI工具,必须经过主管同意,且严禁将任何公司机密上传。
虽然听起来很老生常谈,谢君豪指出,订定基本规范并要求遵守,再根据实际执行情况去调整规范,毕竟最初每个人对AI也不知道如何管控。
但大家可能还是会想这样的规范有用吗?事实上,BSI过去针对内部上网、云端使用、BYOD等,制定明确资安政策与使用规范,现在也只是多了生成式AI使用政策。
而且,有很多资安概念其实在之前就已经建立,并且不断累积。例如公司本身有许多的内部教育训练课程与测验,以寄送电子邮件为例,都会告诉大家在寄出每一封电子邮件前,都要判断这是公开、内部或机密的内容。
换言之,在多方面培养员工资安意识之下,以既有共通观念,后续公布的生成式AI应用原则无需过于细节化,因为许多基本理念已然互通并具参考价值。这也突显出,对于使用新兴科技或是AI,又或是推动数位转型,这些资安文化的建立是至关重要。