从台湾资安大会看企业资安趋势

　　一年一度的资安盛事「CYBERSEC 2023 台湾资安大会」于2023年5月9日开始为期三天的展览。从2015年首次举办至今，已逐渐成为各界瞩目的焦点，参与人数从2,700人激增至今年的18,000人，由此可见资安议题的重要性与日俱增，尤其全球企业正面临数位转型，近期当红的人工智慧、云端运算、万物联网等科技伴随而来的资安风险更是不容小觑。如何保护核心资讯及资讯传输，成为企业的重要课题。

　　今年资安大会的主题为「Bring Security To」，除了Bring Security to Taiwan，更要Bring Security to the World。自从2020年疫情开始席捲全球，远距办公加速了数位化的脚步，2022年歷经俄乌大战，除了实体战争外，亦在网路上展开攻防。小至个人、企业层级，大至国家层面，资安的风险无所不在。根据国际资安调研机构Cybersecurity Ventures数据预测，2023年网路犯罪将在全球吸纳USD8兆，若以美国2023年全年GDP约USD25.5兆估算，诈骗总额几乎成为全球第三大经济体，仅次于美国及中国大陆；预估到2025年，诈骗总额更将高达USD10.5兆。尤其生成式AI诞生后，网路诈骗势必愈发猖獗。在此之前，原本只有具撰写程式能力的人，才有办法成为骇客，但生成式AI除了让原先了解程式的骇客可以更快提升攻击效率，不了解程式的人也能根据投入生成式AI的内容，获取更多攻击手法。例如，利用生成式AI的文书创作能力，快速生成钓鱼邮件，或是运用AI语音生成器，假冒公司高阶主管的声音，要求同仁匯款。值得担忧的是，恶意攻击程式的开发门槛，也因为生成式AI强大的程式语言能力而降低，企业未来要面对的资安威胁将越来越常态化。

　　面对来势汹汹的资安危机，台湾其实早在2001年开始逐步推动资安管理制度及建构资安管理体系，更于2018年发布「资通安全管理法」，锁定能源、水资源、通讯传播、交通、金融、紧急医疗、中央与地方政府机关、高科技园区等八大关键基础设施来订定资通安全防护计画；金管会亦于2021年底修正「公开发行公司建立内部控制制度处理准则」，明订公开发行公司应配置适当人力及设备，进行资安制度规画、监控及执行资讯安全管理作业，并依公司规模及财务状况，要求建置资安长及资安专责人员，同时请证交所及柜买中心发布「上市上柜公司资通安全管控指引」，以强化资通安全管理措施。希望藉此提高企业的资安警觉、强化资安能量、降低资安风险，进而协助企业加速推动资安治理。

　　根据国际调研机构Gartner预测，2023年全球企业的资安防护支出费用远不及网路犯罪诈取金额的2%，且资安的投资报酬率亦较难量化，但企业若不积极採取防护，骇客的攻击只会日益严峻。因此，政府为了鼓励企业投资资安防护，于2022年新增资安投资抵税3年的优惠，举凡资安相关的硬体、软体、技术或服务，只要超过NTD100万～10亿，即可享有3～5%的减抵税额，期能透过奖励措施，促进企业落实资安治理与防护，这也唿应了今年资安大会的主轴「Bring Security to Everywhere」，将资安带入企业运营的每个角落，强化企业韧性，落实永续经营。

图片来源：Freepik

#