【資安周報第72期】企業營運十大威脅出爐,前三大都得靠IT

過去兩周,全球因為勒索蠕蟲WannaCry(想哭)的威脅,不僅讓許多遭到勒索蠕蟲威脅的企業想哭,許多IT部門和資安部門人員,更是日以繼夜的不停加班,就是為了儘快修補微軟於今年三月,就已經對外公布的MS17-010關於SMB通訊埠的漏洞。

對於許多企業的公司營運而言,這些突如其來的資安威脅,便如同是遭到網路攻擊一般,嚴重的威脅甚至可以造成企業無法順利營運,例如,想哭勒索蠕蟲一旦綁架企業的ERP系統,加密所有的營運資料,一旦企業沒有做好萬全的營運資料備份,面對公司如何繼續營運,或者是支付等同300美元的比特幣以換取解密金鑰,兩相衡量情況下,孰輕孰重便已一目了然。

企業被勒索蠕蟲綁架的感覺,就像是遭受到突如其來的網路攻擊一樣的束手無策。但實際上,企業遭遇到的這類資安威脅,所感受到的恐懼與不安,已經是現在相當普遍的現象。

根據英國營運持續協會(Business Continuity Institute,BCI)連續第六年定期公布的地平線掃描報告(Horizon Scan Survey),企業遭受到的前十大威脅(Threats)中的前三名,已經連續三年排名和內容不變,且前十名的威脅也和世界經濟論壇(WEF)揭露的威脅內容相仿,尤其是網路攻擊和無預警的資訊與通訊中斷,已經成為企業持續營運時,所面臨的共通威脅之一。

臺灣BSI總經理蒲樹盛建議,該份報告揭露的內容,不論是威脅、衝擊或者是趨勢,都是臺灣企業可以作為風險評估選項的參考內容,一般而言,每個項目的前三名都應該是百分之百都該重視的項目,如果企業擁有的資源更多,可以涵蓋的風險範圍越廣的話,就可以透過八二法則,參照該優先順序作為企業風險評估的優先項目。

企業面對資安風險,仍可參照八二法則做排序

資安專家李倫銓分析這次WannaCry災情時曾表示,上次蠕蟲登上報紙頭版已是十多年前的疾風蠕蟲(Blaster),但十多年後,當想哭勒索蠕蟲再度登上頭版,他說:「即使經歷十年的生聚教訓,面對不一樣的資安威脅時,對企業而言,結果仍舊是同樣的束手無策。」

蒲樹盛則表示,有許多企業導入資安、個資或是企業營運持續的相關驗證時,都會開始鑑別企業所面臨的營運威脅和衝擊是什麼?但就他觀察,其實許多臺灣企業因為產業型態和規模大小不一,在鑑別威脅和衝擊的項目上,並不完整,蒲樹盛說:「有些時候就是因為鑑別的威脅項目不夠完整,反而容易造成無預警的風險甚至是服務中斷。」

他認為,透過營運持續協會歸納出來的十大威脅和十大衝擊,就是企業在做風險評鑑時,可以直接納入評估的項目。而這份地平線掃描報告的調查也顯示,全球每3間受訪企業中,就有2間企業將該份報告的威脅、衝擊和趨勢,作為企業風險評估的項目之一;也有21%的企業願意提高企業持續營運的相關預算;此外,也有63%的受訪企業是直接採用ISO 22301作為企業營運持續的指導原則。

若以該份報告最重要的三大分類來看,包括威脅(Threats)、衝擊(Disruptions)和趨勢(Trends),蒲樹盛指出,威脅是指發生機率最高的項目,排名最前面表示該威脅發生的機率越高;至於衝擊則是從損害的角度來看,排名越高表示造成的後果越嚴重;但不論是風險或者是衝擊的發生,往往都是因為「趨勢」造成的,換句話說,趨勢的改變往往就會帶來風險的改變,「所以關注趨勢,就是關注未來的風險是什麼。」蒲樹盛說。

有七成英國企業過去一年曾遭到無預警的資訊與通訊中斷

該份報告的前十大威脅中,蒲樹盛表示,前三名威脅,依序是:網路攻擊、資料外洩和無預警的資訊與通訊中斷等項目,已經連續三年排名沒有任何變動,也就是說,對企業的持續營運而言,造成企業無法持續營運的原因就是上述三個項目;其中,網路攻擊的項目則包括常見的網路釣魚、惡意程式以及DDoS(分散式阻斷式攻擊)等。英國則有將近九成(88%)的企業非常憂心或憂心企業會遭到網路攻擊,造成企業無法持續營運。

資料外洩則是以機敏資料的遺失或遭竊為主,全球有81%的企業非常憂心或憂心企業資料一旦外洩,公司可能就會面臨無法營運的風險,非常憂心的企業比例甚至將近過半(47%)。

蒲樹盛也特別提及,憂心供應鏈中斷的威脅近幾年都一直在前十大的排行榜中,以發生機率的威脅而言,34%的受訪企業表示,供應鏈損耗已經造成一百萬歐元的累計損失,更有一成的企業(9%)表示,曾經遭遇過單一的事件並造成企業一百萬歐元的供應鏈損失。

至於無預警的資訊與通訊中斷不僅是最常發生的前三大威脅之一,更是對企業造成無法持續營運排名第一名的衝擊。蒲樹盛指出,現在的企業高度依賴各種IT系統提供服務,不僅發生的機率高,一旦發生後,對企業帶來的衝擊更是難以想像,甚至可能直接造成企業無法繼續營運。根據該份報告也顯示,有超過七成(72%)的英國企業在過去一年中,曾經遭到無預警的資訊與通訊中斷,而也有將近四成(38%)極度擔心這個威脅的發生。

不過,網路攻擊原本是排名第一名的威脅,衝擊排名第四名,但從該份報告中也可以發現,有過半(54%)的全球企業非常擔心遭到惡意程式或者是DDoS攻擊等網路攻擊,但是只有35%的企業,曾經在過去一年遭遇到這樣的網路攻擊。實際上而言,網路攻擊實際發生的比例,其實低於憂心發生的比例。

「掌握趨勢就是掌握未來的風險,」蒲樹盛表示,從該份報告發現,有八成的受訪企業認為,使用互聯網進行惡意攻擊會對企業帶來長期的威脅和不確定性,也是影響企業未來發展趨勢排名第一名的項目。

也有53%的受訪企業認為,如果沒有做好社群媒體的管理,包括:商譽管理、錯誤消息和危機處理等,將可能影響企業的營運發展,若以近期全聯爆發一連串的新聞事件來看,一旦未能妥善處理,就是企業的公關危機,也會立即影響到企業的持續營運狀態。他也指出,50%的受訪企業認為,流失重要員工將嚴重影響企業未來的持續營運,這也是臺灣高科技業者的痛處之一。

蒲樹盛表示,不論是前十大的威脅、衝擊或者是趨勢,都是臺灣企業在做風險評估時,非常適合的風險評估項目之一,透過八二法則的掌握,資源較少的企業可以直接專注在前三項的選項,資源較多的企業可以進一步擴及關注的範圍,讓企業可以比較有彈性的去掌握可以掌握的風險項目。

他強調,所有的威脅、衝擊或趨勢,都不是一夕之間就會消失的項目,每一個存在都有其意義,都經歷過六年的持續驗證,如果可以善用相關的內容,對於企業在進行各種風險評鑑,都可以帶來正面效益。

原文來自 iThome