今年的iThome CIO与资安大调查,我们做了一个重大的调整,取消了对于台湾企业资安灾情的调查问题。这是从2018年开始执行资安大调查以来,最大的一次调整。
在往年的资安大调查中,我们搜集了三个与企业资安灾情息息相关的关键数据,包括了企业过去一年资安事件数量、企业遭骇平均发现时间以及遭骇后的平均复原时间,用这三个数据来呈现企业的资安防护能力、资安侦测能力以及资安事故复原能力,想披露台湾企业资安体质的三大面相:防御力、侦测力和应变力。
但是,资安灾情数据其实是一种落后指标,只能呈现出企业发生资安灾情之前的旧况,而无法反映企业发生灾情后的改善,或是为了防范未然而努力的成果。虽然,过去6年纪录了台湾整体产业资安灾情的变化趋势,但我们毅然决然,放弃这些题目,将焦点转向更具有未来决策参考性的调查项目。
过往先从台湾资安灾情、资安投资展开的大调查系列报导,今年也转而先从企业资安风险图开始揭露,这正是一个可供企业了解2024~2025资安风险分布的领先指标,可以作为企业规画未来一年资安策略和资源分配时的参考。
我们今年搜集到了422位资安与IT主管对25项资安风险的评价,其中,近6成填答者是企业资安长或资安最高主管。他们自评这些风险项目对各自所属企业的发生风险和冲击高低,我们再依据他们的回答,绘制出整体与6大产业的2024~2025企业资安风险图。
冲击越高且发生风险越大的资安威胁,位于风险图右上角的第一象限,而且位置越高越靠右,代表对这个产业的冲击越大,发生可能性也越高。依此类推,可以看到25项风险项目各自的风险高低,与冲击高低。
我们还标记出其中首要风险和次要风险,作为企业优先投入资源的参考。
从今年的资安风险图来看,有11项风险列入第一象限,是企业未来一年要特别警戒的风险,其中大多数是四年来多次名列第一象限的老威胁,首要风险中的勒索软体资安事件、社交工程手段和骇客都是每一年企业特别戒备的重中之重。今年新增加了「被植入窃资软体/后门木马」这项资安风险,也立刻被资安主管列入到高冲击高风险项目中,值得企业留意。
不只用位置来区分25项资安风险在今年的威胁强度分布,我们更用颜色呈现两年的风险变化,突显今年威胁明显提高的新风险,用红色文字代表了今年风险明显变大的项目,而绿色文字则代表了预估冲击在今年明显提高的项目,而针对今年在发生风险和冲击程度两项都增加的项目,更首度用紫色文字来标记。
就算没有名列前茅的资安威胁,在今年资安风险图上,若改用紫色文字来呈现,CIO们就得特别留意,这可能就是过去忽略,但未来一年可能会开始窜升的新风险。