面對資安問題,企業能做什麼?
從去年到今年,台灣已有不少組織及企業受害,像是去年的中油、台塑、仁寶、研華,到近日的宏碁等,這場在企業與駭客之間的沒有實體戰場的戰爭早已開打。
在去年就有許多網路安全、科技廠商預測勒索軟體將與過去相比將更加猖獗,常見的隨機已不能滿足駭客的胃口,部分渴望大筆贖金的駭客轉而發展為針對大型企業,且「設備勒索」跟「資料竊取」兩不誤的手段,像是targeted ransomware,以及double-extortion ransomware,勢必要讓受害者能乖乖配合他們的贖金要求。
顯而易見,現在企業已經無法僅僅透過備份來應對駭客的最新手段,並面臨了兩難的情況:在這種情況下交付贖金除了提供敵對方更多的資金以外,還可能會讓駭客食髓知味,進而將其他組織企業也列為他的攻擊目標;而不交付贖金則有可能惹怒對方,進而使出其他方法來逼迫受害者。
因此,企業真正該做的是努力提升自己的資安能力。
首先,拋開過去每年撥一筆預算給資安部門,想著將公司上下的資安防護一同加強就好的做法,而是將資料依照不同的安全層級一一分類,並針對不同的安全等級設置不同的資安防護,確保駭客無法輕易接觸到機密資料。
其次,因員工誤點惡意連結、釣魚信件,或隨意使用隨身碟導致的資安事件也屢見不鮮,如何提升公司整體的資安意識也是課題之一,除了鼓勵員工參與資安課程、講座外,也能於內部進行資安宣導,以防類似事件。
最後則是風險轉嫁,但該如何選擇適合的「資安保險」卻不是那麼容易。因為這類保險經常針對不同企業的情況而有不同的內容,像是適合大企業的客製化資安險,或是針對中小企業的簡易型資安險。因此保險顧問跟企業都必須對公司的狀況有所了解,才不會面臨發生資安事件卻無法理賠的窘境。