本論壇文章反映作者意見,不代表《遠見》立場

子導覽列
首頁 > 產業創新 > 吳乙南台北 > 企業遭駭怎麼辦?資安專家教你降低衝擊五大步驟

企業遭駭怎麼辦?資安專家教你降低衝擊五大步驟

發文時間: 2021/11/23   文 / 吳乙南台北 瀏覽數 / 9,800+

好的政策規劃更需要有落實的執行步驟和成效的驗證,資訊安全政策在數位時代的智慧經濟中,已經成為企業組織在公司治理風險管理重要的一環。

企業若輕忽資安政策的落實程度,可能會造成營運中斷的風險,不僅對企業品牌造成危機,同時對長期建立的企業韌性更是嚴厲的試煉。

企業在研擬執行資安風險管理政策,董事會不僅扮演推動的關鍵角色,更要善盡監督執行之責,企業董事應具備以下資安思惟:

1. 資訊安全政策是廣義企業營運風險的一環,建立完整風險管理架構,不應只是資訊部門的工作項目。

2. 邀請內部資安專家針對資安風險管理策略、人力和預算等議題,納入董事會議程進行專案報告,並給予支持。

3. 董事必須熟稔該產業相關的法律和規章,針對資安風險管理政策,提早規避風險種類,或是將風險產生的損失轉嫁到保險公司承擔,降低企業的營業損失。

駭客攻擊潛藏許多新手法,企業應及早啟動資安防禦的布局,僅為情境配圖。圖片來自pexels圖/駭客攻擊潛藏許多新手法,企業應及早啟動資安防禦的布局,僅為情境配圖。圖片來自pexels

資安對營運風險的影響 

企業組織為了強化公司治理,已將資訊安全管理的範圍納入風險管控,董事會的獨立董事具有資安治理經驗的專業資格尤佳。現階段是由幕僚提供相關資訊,但企業資安主管應扮演與董事會溝通的角色,可以從以下的構面,讓企業董事快速理解資訊安全對營運風險管理的重大影響:

1. 從企業風險控管的種類,列出公司重要關鍵資產,評估面對的危機和防禦程度,將資訊安全管理的風險,提高至組織營運策略治理的方向。

2. 為強化企業資安的治理,董事會和高階長官要重視並參與,投注一定比例的經費預算與人力配置,建構資安先期檢測以及縱深防禦能量,展現化被動為主動的積極防禦力。

3. 透過案例分享向董事會即時更新所面臨的駭客攻擊,從趨勢以及未來潛藏的攻擊手法,及早因應駭客攻擊。

在現行資安制度上,ISO 27001的標準認證是資訊安全管理系統比較一般基礎的證照;而法規上的個資保護法(單一個資洩漏之訴訟賠償為2千,最高上限2億),2019年實施的資通安全法(非公務機關未通報資通安全事件,處新臺幣30萬元以上500萬元以下罰鍰,屆期未改正者,按次處罰)。今年4月證交所規範上市公司發生重大資安事件時,需發布重大訊息對外揭露,這些都是在法規制度面必須加以留意的。

企業資安防禦從原先安裝防毒軟體、防火牆的靜態設定到現在進階以威脅獵捕(Threat Hunting)的主動式防禦-從資安事件分析駭客手法、技術與程序;SOC(Security Operation Center)就是將網路、資安設備所監控的日誌加以分析,並進而關聯、分析而產出其規則,一旦觸發規則發出預警跟通報,而且是7x24全年無休在運作。

資安防禦》布局三步驟 

就資安防禦執行面,可以分成事前、事中跟事後三個步驟布局。

資安防禦布局三大步驟。資料由吳乙南提供圖/資安防禦布局三大步驟。資料由吳乙南提供

前述是從企業組織來說明,從董事會策略、監督,以及資訊部門執行面的資安縱深防禦,重點都落在自身的資訊基礎建設。

後述的兩個案例則是從第三方供應商在軟體更新和系統維護造成的資安危機,2020年12月美國SolarWinds Orion平台遭入侵,SolarWinds本身是網路監控產品,遭植入Sunburst的惡意程式,網路漏洞蔓延的結果就是資料的竊取。

今年7月在美國發生的MSP(託管服務)供應商Kaseya其IT管理軟體遭駭客發動零時差(0-Day)攻擊,原因在於已知漏洞未能即時更新修補,讓駭客逮到機會入侵該系統,美國總統拜登下令徹查幕後黑手。

因此,對於第三方的資安管理策略以及責任風險,企業組織也都要一併納入資安風險的規畫和管理。

企業遭駭》降低衝擊五大步驟 

企業組織若是面臨駭客威脅的重大資安事件,在尋找資安專業廠商進行鑑識前,應牢記以下步驟,以利有效還原資安事件攻擊途徑跟手法,降低業務衝擊:

1. 斷網、斷電:

確保惡意程式無法對外連線與擴大影響區域。

2. 保存電腦現狀:

確保設備以現狀保存,減少證據流失。

3. 執行通報程序:

內部通報資訊(資安)長,對外必要時向督導單位報備。

4. 釐清事發原因:

完成事件調查,並提出改善修正建議,以及提出復原計畫。

5. 執行復原計畫:

系統重建、備份資料,以及還原系統測試。

提升資安應變力,有助永續發展 

因應網路技術與駭客攻擊手法演變,近期在黑色產業鏈駭客也主動客製化的企業勒索軟體服務RaaS(Ransom as a Services),搭配DDoS攻擊,先寄勒索信造成被攻擊方的心理壓力,再依信中內容進行攻擊,未來網路威脅的資安事件肯定有增無減。 

因此,強化企業資安防禦韌性是公司治理重要的一環,從董事會、高階主管和員工在資安教育的養成,企業平日營運在強化事前、事中的資安防禦策略,唯有啟動企業的資安應變力,才能奠定企業永續發展的資訊韌性。

本文章反映作者意見,不代表《遠見》立場

(作者為安碁資訊公司總經理)