台湾上千家上市公司,从今年五月开始,对于资安重讯的发布,有了更高的要求,证交所修订了重大讯息问答集第26款的内容,要求企业,只要发现遭骇客攻击或入侵,不论是否涉及核心资讯系统、机密文件,都属于对公司造成重大损害或影响,需发布重大讯息对外揭露。甚至,不一定要发生个资或内部文件外泄事实,而是只要有外泄的风险(问答集中的用语是「外泄之虞」),就需要发布重讯。
在这项的规定修正公布后不久,在6月上半,我们看到三家公司发布资安重讯,已经有企业采取了更高标准的自我要求,就算是周边静态的网页(非核心)有遭存取的风险(侦测到遭外部入侵的意图),也如实发布重讯。这一点正是证交所扩大资安重讯通报范围的目的,要为企业资安态势的透明化,树立新的参考标准。
我认为,这样如实揭露的企业态度,相当值得肯定。唯有更多企业如实揭露,才能让整体产业培养出更成熟的资安当责文化,让各界对资安事件有更正面的态度,不是一昧责难,导致许多企业担心影响股价而资安噤口。应该反过来,鼓励更多企业愿意面对,让企业将危机视为强化资安的成长机会。
但是,另一方面,在这三起六月初的资安重讯中,有家老牌企业,直到国外媒体曝光资料遭窃消息后2天,才发布重大讯息,坦言资安部门的确侦测到网路传输异常。
原本证交所就要求,上市公司需要回应媒体所披露的资料外泄,以免影响到公司形象(股价)。但是,这家公司直到外泄传闻曝光两天后,才出面证实有异常情事。这凸显了企业对于自身资安防护态势的认识不足,一种可能是资安侦测能力不足,没有足够的纪录和资讯,更早一点发现自家哪些系统遭殃,或者可能是资安识别能力不足,无法更快判断出自己遭遇了什么样的威胁。
从今年CIO与资安大调查结果中,只有4成多的台湾大型企业对自己的资安能力够有信心,识别能力不足是多数企业资安自信心最低的资安短板。为了进一步了解台湾大型企业今年资安布局如何因应这个资安短板。我们参考前美国银行首席安全科学家Sounil Yu在2016年,他于银行任职时发明的网路防御矩阵CDM(Cyber Defense Matrix),绘制了一张台湾大型企业网路防御矩阵的2024年资安投资重点的分布图。
从这份CDM对应图,可以看到台湾近5成的企业,今年资安投资仍是散弹打鸟,重点式的强化,主要聚焦在保护作为,也大多只涵盖到特定资产的识别和侦测能力,另外在复原能力上,多数企业则偏重以事后因应而非更及时应变的异地备援作法。
不过,已有1~2成积极落实资安的企业,今年资安布局涵盖到更完整的识别与保护面向,例如推动零信任资安、资安治理、身分识别与存取控管、红队演练等。甚至有极少数,约5%格外重视资安的大型企业,今年进一步要强化到各类资产的侦测、回应和复原能力,例如设立CSIRT小组。
现在的企业资安,不可能做到百分之百的防御,不可能完全不受到有心人士(恶意程式)攻击的影响。但是,企业是否能更快、更早知道自己遭到锁定,知道自家门外已有可疑人士徘徊,甚至在门口被画上了日后犯案的标记,这就考验了企业对自家资安防护态势的认识能力,企业得有足够的资安自知之明,才能采取更适当也更有效的应变。