根據KPMG觀察,近期企業更頻繁地遭駭客攻破資安防線。駭客往往植入惡意程式,並以加密重要資料或系統成為勒索標的,很可能影響企業營運並造成財務損失。新一代駭客縝密規劃綁架計畫,除了瞄準產業的旺季或是防護較弱的期間,甚至會分析受綁對象的營運狀況,對應索取不同金額的贖金,並以公開組織的機敏資料做為籌碼,威脅組織未來數年的發展與競爭力。駭客也因應時代趨勢,提供「貼心服務」,包含免經銀行匯款、免手續費等來收取贖金,甚至開始接受被勒索之企業支付「比特幣」。

在今日駭客攻擊手法多變,且一旦遭駭代價也遠遠超乎預期之際,KPMG建議企業應以更前瞻、積極的觀點強化資安防護。

因此,KPMG針對本次修法的看法分列如下:

1. 上市公司發生重大資通安全事件應發布於重大訊息:

近期國內許多大型公司,均傳出被駭客攻擊的消息,而後續是否交付贖金,大多數公司均不表示意見。企業遭駭客入侵已成事實,但感染範圍、影響程度等卻不為外人所知。臺灣證券交易所為了保障投資人「知」的權利,特別修法將發生重大資通安全事件應發布重大訊息之要求納入,在110年4月29日公告後即實施。今日,若企業違反重大訊息發布的法規要求,將可能遭主管機關裁罰。

2. 櫃買中心亦要求上櫃公司發生重大資通安全事件應發布於重大訊息:

資通安全事件不只是針對上市公司,上櫃及興櫃公司亦容易成為駭客鎖定的對象。若發生資通安全事件,很可能造成公司重要核心系統、生產設備運作效率減緩或停頓,或造成資料外洩,影響公司營運,對財務狀況造成顯著影響。故主管機關亦修法要求上櫃及興櫃公司,若發生資通安全事件而造成重大損害或影響時,應以重大訊息方式告知社會大眾,確保投資人權益。

3. 建立資安事件通報程序:

為了因應法規針對重大訊息通報的時間要求,企業必須確認內部資安事件通報程序。程序從發現疑似資安事件、確認影響範圍,到跨部門的溝通,都必須事前指派專責人員,並確認全體員工都有足夠的資安意識,才能主動察覺潛在的資安事件,或於事件發生後進行調查、確認及迅速採取應變措施,並隨即依法規通報事件或召開記者會。因應重大訊息登錄及發布的相關法規之修訂,公司應盡速確認內部通報及應變程序是否已具足夠效率。

4. 內部損失評估:

因法規對重大損害之影響有相關的定義,故應於事前確認,若發生資通安全事件時,內部的初步損害評估機制為何,損害包含停工、減少出貨量、違約、贖金損失,甚至是研發機密遭洩露、有價資訊之價值減損、潛在法律訴訟成本。此外,包含為了恢復正常運作的成本、暫時因應措施所衍伸之開支,及後續可能的保費提升,都應納入損害評估。由於相關評估程序需要多個部門共同合作,故應提早進行規劃,並配合定期或不定期的演練,確保事故發生時,企業於混亂中仍能持續營運。

5. 定期安全檢測:

KPMG觀察,惡意程式、綁架軟體等入侵行為,常是藉由縝密的規劃,來察覺組織特有的資安弱點。駭客也往往會於組織內潛伏一段時間,故對特權帳號管理方式、網路拓樸、重要的資訊資產、遠端連線管理方法,甚至是單位作息等,均十分了解,故較能規避防毒軟體的偵測。因此,組織若要提早發現駭客惡意入侵,最好透過定期的資安檢測、內外部的滲透測試,才能不斷發掘組織潛在的資安弱點,並且在組織進行與資安管理有關的變更,如網頁改版、系統上線、功能變更,或組織改組、併購時,適度地重新檢查,因爲此時是組織相對資安防禦最脆弱的時候,故更應小心防範。

6. 永續經營資安與營運持續管裡:

若只是針對單點強化防禦措施,沒有全面且強固的資安防禦堡壘,常會使組織有重複投資之感,且很難證明資安投資的效益。故KPMG建議全面性的導入資安風險管理實務,並參考ISO 31000、COSO 2017 ERM等標準,不只能強化公司治理評鑑指標,亦能針對資安投資規劃適當的績效指標。若搭配實施資訊安全ISMS、營運持續BCMS、個人資料保護PIMS等能強化組織的相關業務,將可進一步加強公司風險治理、將ESG指標納入考量,提升公司資安治理的效益。