從近年的銀行遭駭盜領事件、券商集體遭DDoS攻擊勒索事件、晶圓龍頭病毒事件,可以看到,資訊安全早已是企業不得不重視的課題,尤其是無孔不入的網路攻擊。

根據《2019資誠臺灣企業領袖調查報告─危機中挺身而進》,在245位受訪的企業領袖中,有74%表示公司將受到跨境網路攻擊影響;值得注意的是,相較全球有75%企業領袖認為企業具網路防禦與還原能力,臺灣有高達88%的企業領袖如此認為,顯示了臺灣企業已將網路攻擊視為最重要的威脅來源,並且正在努力防堵。

然而,相較於網路攻擊等外部威脅,來自企業內部的資安威脅更是急速竄升,從過去多起造成重大損失的資安事件來看,最大缺口皆來自內部威脅,甚至,對臺灣科技實力造成嚴重傷害的營業秘密外洩事件,更是其中的典型案例。分析其原因有二:一、 與其正面對決,駭客更喜歡透過資安意識不足的員工,將惡意程式偷渡到內部網路,藉此繞過層層的資安防護機制,直接在內部網路進行偷竊;二、內鬼所導致的營業秘密外洩事件層出不窮,既使最後企業訴訟勝利,也難以挽救資料外洩對其造成的傷害。

資安防禦除了可以協助企業守住得來不易的經營與研發成果,「客戶信任」是企業獲利的另一個關鍵。在臺灣,過去幾年由於食安、工安事件頻傳,許多企業長久經營的商譽受損,更直接衝擊其獲利能力。古人云:「誠招天下客,譽從信中來。」企業在營運過程中,如何使用所蒐集到的消費者或客戶數據,成了另一項客戶衡量企業誠信的重要指標。

在《PwC第22屆全球企業領袖調查》中,全球有23%的CEOs坦承在使用消費者或客戶數據時,未能考量隱私及道德問題。相較於全球的調查結果,臺灣僅有4%的CEOs承認有這方面的問題。必須注意的是,專業能力固然是客戶評選企業的重點,但客戶的隱私權保護更是其中的關鍵。企業的許多數據應用行為,雖不違反法律規範,但卻不符合倫理守則,這終將影響客戶對企業的信任。

多數臺灣企業已意識到數據應用的價值與資安防禦的重要,並辨識到網路攻擊是一項重要的外部威脅來源;然而,在防範內部威脅時,卻常常陷入「用人不疑,疑人不用」基本美德與企業經營中「監督與制衡」原則相互拉鋸的兩難。「人才」雖是企業經營中重要的資產,但員工的疏忽或不道德作為,卻也是最能對企業資安發動最致命一擊的威脅來源。

信任,是員工願意為企業全力以赴、盡心盡力的動力之一,更是企業贏得客戶信任的神隊友,但這並不違反企業必要的監督與制衡機制設計,必須讓員工認知到,必要的監督與制衡機制並非針對個人,而是為了維護客戶信任的重要關鍵。同時,隱私保護意識的抬頭對企業數據應用帶來的風險,企業領袖需從中取得平衡,避免踩到道德紅線,進而衝擊企業形象。(本文作者為資誠智能風險管理諮詢公司執行董事)

#臺灣 #企業