第三方资安风险 6成企业没把握

根据资诚调查，虽有60％受访者预计2022年网路犯罪事件将增加，56％受访者预期透过软体供应商的违规行为会增加，但只有34％受访者正式评估其企业正面临这种风险。

58％的受访者预期其云端服务受到的攻击将大幅增加，但只有37％的受访者透过正式评估来了解云端风险。

资诚智能风险管理谘询公司执行董事张晋瑞表示，即使企业自身的资安防御良好，企业也可能容易受到攻击。老练的骇客会搜寻企业资安最薄弱的环节，有时就是透过企业的供应商。企业必须正视第三方资安风险的议题，然而，在本调查中，只有不到一半的受访者表示，他们对复杂的商业生态系统构成的新威胁做出回应。

当受访者被问及其企业如何将第三方风险降至最低时，最常见的答案是确信或验证其供应商的合规性（46％）、与第三方共享资讯或以其他方式协助第三方改善资安现况（42％），以及因应与成本或时间相关的网路韧性挑战（40％）。

但资诚指出，58％受访企业并没有完善的第三方标准，60％受访企业没有重写合约，另62％也没有提高他们尽职调查的严谨性以识别第三方的威胁。

此外，企业高阶主管和CEO受访者对于CEO在资安方面提供的支持程度存在认知上的差异，CEO认为自己比其团队更加参与、支持以及实现资安目标。不过，企业高阶主管和CEO受访者都同意，CEO积极参与制定和实现资安目标，的确会产生正面的影响。大多数高阶主管认为，应对CEO和董事会进行教育，使他们能够更履行资安职责，以实现2030年更安全的数位社会。

张晋瑞指出，最先进的组织把资安视为不仅是防御和控制，而是成就永续经营并与客户建立信任的一种方式。CEO作为企业的领导者，应该定下基调，让资安团队专注于更大的、与成长相关的目标，而不是狭隘的短期期望。

供应链的资安管理不仅是企业关注的议题，也是主管机关的监理重点。张晋瑞表示，金管会于2020年8月推动的「金融资安行动方案」中，增订了供应链风险管理规范，纳入核心资讯系统供应商或跨机构资讯服务之风险评估及查核等管理机制。张晋瑞强调，合作伙伴的风险也是企业本身的风险，企业必须瞭解及管理合作伙伴及厂商生态系的风险，深化资安治理，以迎接新世代的挑战。