2012年11月5日 星期一

資安威脅不減 資安管理市場強勢成長


資安威脅不減 資安管理市場強勢成長

隨著新科技、新技術、新法規的出現,資安威脅也越來越多,如難以察覺持續滲透的APT 攻擊,新技術應用帶來許多不可知的威脅,如行動裝置快速興起、雲端應用進入成長期。面對越來越多的不可知,過去許多防禦觀念必須被拋棄,企業必須重新規劃一套變動型資訊安全管理機制,如高階管理者必須參與資安工作,光是採購資安設備已然不足,必須要有效管理,培養更多專業資安人才或委外服務,更是企業必須考慮的重要方向。

根據賽門鐵克所發布的調查報告,全球企業的資訊量儲存已達2.2 ZB (zettabytes)。中小型企業的平均資訊儲存量為563 TB(terabytes),而每家大型企業平均有100,000 TB的資訊量。調查結果同時也指出,2013年大型企業的資訊成長率預計為67%,中小企業的資訊成長率則為178%。


企業資訊安全不只是IT部門的責任,更要從全方位進行考量。

從機密的客戶資料、智慧財產權到財務交易資料,這些龐大的資訊不僅讓企業具備競爭力,同時也讓運作更有效率,也讓企業能夠長久經營。事實上,調查也發現數位資訊佔企業總價值高達49%;而在台灣,企業也認為數位資訊則佔其總價值的40%。

因此調查也發現,企業每年平均花在資訊上的相關成本,多達3,800萬美元,中小企業則為33.2萬美元。然而,若以每年每位員工的資訊管理成本來看,大型企業為3,297美元,中小企業則更高為3,670美元。舉例來說,一家有50位員工的典型小型企業,其資訊管理支出為18.35萬美元,而一個擁有2,500位員工的大型企業則為820萬美元。

企業對資安管理應更加積極

但「水能載舟,亦能覆舟」,企業組織所產生的大量資訊,固然可提升客戶服務並增加生產力,但企業若未妥善保護資料,也會使企業蒙受巨大損失。以今年10月正式上路的個資法為例,企業只要不小心洩漏了個人資料,最高求償金額可達新臺幣二億元,企業必須找出有效保護資訊的方法,才能真正有效的增加企業生產力。

商業資訊的遺失可能導致嚴重的災難。根據調查報告結果顯示,台灣企業表示資訊遺失的影響包括客戶流失(49%)、企業聲譽及品牌形象的傷害(52%)、企業收入減少(41%)以及營運支出增加(56%)。 而全球企業遺失資訊的影響則為:客戶流失(49%)、企業聲譽及品牌形象的傷害(47%)、企業收入減少(41%)、營運支出增加(39%)以及股價下跌(20%)。

有鑑於資訊對企業的重要性日增,企業對於資訊安全管理的態度,應該更加積極。但調查卻發現,在過去一年,全球企業平均有69%企業遭遇資訊遺失的問題;69%公司機密資訊外洩;31%企業則有資訊相容性的問題。台灣則有高達83%的企業由於人為疏失、硬體故障、資料外洩,或是設備遭竊取及遺失等原因而導致資訊遺失,其中93%公司曾有機密資料外洩,20%企業曾經歷與資訊相關的法規遵循問題。上述的風險以及效率不彰之處,將使企業浪費更多不必要的支出在資訊儲存與保護。

擁有大量個資企業成主要攻擊目標

在去年(2011年)的調查中,每10筆遭外洩的資料,就有8筆是來自資訊科技及電腦軟體產業;但今年的調查結果卻顯示,資料外洩數量的前兩名已被零售業(40%)及電信業者(15%)取代,這兩大產業的共同特色,就是擁有大量客戶名單,也證明個資已經成為被鎖定的目標,企業應該多加防範。

值得注意的是,資料外洩事件數量雖無太大的改變(2011年每月平均16.5次,2012年下降到14次),然而,資料外洩事件的平均資料外洩筆數卻大幅減半:去年(2011)5月至12月間,單次資料外洩事件導致的資料外洩筆數,平均超過131萬筆,而今年卻大幅降低至約64萬筆。

賽門鐵克認為,可能是因為2011年許多大型企業如Sony、RSA被惡意網路攻擊事件曝光,讓越來越多的大型企業開始重視客戶紀錄資料庫的保護,但也有可能是因為駭客不再只是鎖定大型企業,轉而瞄準防護措施更少,相對較易入侵的有價值資料儲存處出手,因此企業若不希望資料外洩,必須採取積極的措施加以防範。

但企業在評估資料外洩的威脅時,不能只是從資料外洩事件的次數多寡來檢視,因為外洩資料規模與資料外洩事件的頻率,並不然有正比關係。如醫療產業遭外洩的資料數量,雖僅佔總外洩資料筆數的2.7%,但因為醫療紀錄屬於高度敏感資料。卻是最主要的攻擊對象,就算頻繁的攻擊次數雖未造成大量的資料外洩,只要少量的高敏感個資曝光,仍會對企業造成重大損失。

值得注意的是,自2012年1月到8月期間的資料外洩案件數來看,大約有四成(40.6%)是駭客攻擊的結果,值得注意的是,「內部人為疏失」造成的資料外洩案件也佔了四成多(48.2%)的比例,包含了內部人員疏失(21.4%)、資料遺失遭竊(18.8%)及蓄意偷取資料(8%),顯示企業在執行資訊安全管理時,抵禦入侵與內部防禦同等重要。

這項調查結果也凸顯了,資訊安全防護必須考慮許多層面,包含主機安全防護、資料加密、資料外洩防護、日誌管理,以至全面的裝置管理和資安政策教育,都要面面俱到,包括行動裝置遺失、經由外接儲存裝置造成的資料外洩、企業內部間諜、因訪客與廠商造成的資料外洩,以及資訊安全教育的不足等

企業應落實全面性資安防護

因此,儘管全球經濟近年來低迷不振,資訊安全市場依舊維持大幅成長的趨勢。Frost & Sullivan的市場調查即指出,企業對於資安需求愈來愈全面,商業需求與法規都必須顧到,因此,台灣資安市場的成長率將在2013年可達高峰;尤其個資法的上路也將是刺激資安相關投資的一項重要因素。

但快速的成長不僅反映出日益增加的資安需求,同時也帶出了使用者教育訓練的重要性。企業不能只是提供資安專業人員更好的軟硬體環境,更強大的管控能力,更必須設法讓所有員工,都能知道如何更有效率的運用資安設備,才能更快落實全面性的資安防護。

轉載自《DIGITIMES中文網》

沒有留言:

張貼留言