文/許伊婷 | 《現代保險》雜誌 | 2019.10.01 (月刊)

橫掃全球的Wanna Cry網路勒索讓台灣發生史上最大的資安事件，去（二○一八）年八月，台積電在安裝新機台時未事先隔離確認病毒狀況，造成Wanna Cry入侵，使機台當機及重複啟動，造成竹科、中科與南科廠區停工，損失五十二億元。根據統計，Wanna Cry事件，台灣是全世界第五大受害者。

事隔一年，今年八月台灣又發生五十六家醫療院所電腦主機遭「勒索病毒」攻擊，全台無數病患及員工個資和醫療數據全被挾持，駭客要求以比特幣作為贖金。

受害的看似都是企業，其實你我都不是局外人！物聯網興起，無論有形（實體）或無形（網路），任何走過的路、消費過的店一旦被駭，消費者的個資就會外流，人人都有可能受害。

 

在台灣上網、生活 竟比在國外還危險？

資安事件每天都在發生，根據以色列科技公司Check Point調查，過去全球十大惡意程式，攻擊台灣的次數是全球平均值的兩倍，身在台灣，面對的資安風險比其他國家更高。

「台灣殭屍網路、垃圾郵件和釣魚都非常猖獗，」資策會資安科技研究所所長毛敬豪分析，由於台灣特殊的政經情勢，地理位置又在中美兩大國中間，再加上ICT產業、晶圓代工及製造業都是全球頂尖，當中有很多重要的商業機密值得竊取，因此成為駭客眼中的肥羊。而國外資安公司也會把台灣當作「實驗室」，來自美國的奧義智慧科技全球產品經理林杰辰坦言，會將新系統在台灣試驗，同時也收集大量資料，探索資安攻擊樣態，並找到防禦的方法，進而優化資安防護能力，提供企業客戶。

 

企業擋不住駭客？ 欠缺資安意識是主因

根據iThome二○一九年台灣資安大調查，「員工疏忽、欠缺資安意識」，是企業擋不住資安攻擊的最大原因，勾選率五七．一％。

科技的演進從各自發展到多方整合，當中勢必會產生弱點，若涉及到商業行為，弱點被攻破就會有很大的危害，作為防守方的企業，毛敬豪認為必須掌握「病情」和「疫情」兩要點，意識到自己有沒有被攻擊的「病情」以及觀察其他人被攻擊發生的「疫情」。

而企業偏好用哪些方法對抗資安風險？五七‧九％會先做好網路安全，第二是「訂定基礎架構防護」，勾選率五五％，而第三是事後的災情復原，勾選率三九％，第四是訓練員工的資安意識，勾選率三五‧八％。

 

僅五％企業想保資安險 靠法規強制投保是危機

然而，願意投保資安保險的企業竟只有五‧二％，富邦產險資深副總經理林金穗說，這代表保險業要加強協助企業用保險轉嫁資安風險。

歷史總是驚人地相似。林金穗說，製造業起初投保保險是因為法令要求，如建造廠房時要依循《建築法》、《消防法》，當中也規定投保責任保險；特定製造業工廠有強制投保火險的規範，這些法令的目的是為保護人員的安全，到了中期，可能經歷過或看過災害，企業開始考慮資產保全，進而規劃全險，不再只是為迎合法令，後來由於全球供應鏈發達，企業再考慮到整個營運的安危，便投保營業中斷相關保險。

二○一四年發生德國煉鋼廠系統及設備遭駭客控制，全球開始發現，當製造業的OT系統與IT系統串聯，開啟物聯網時代，原本在隔離和獨立的網路中執行的OT不再是百毒不侵，再與IT串聯當中產生的漏洞都會成為駭客攻擊的入口。

資安風險不斷發生，但顯然還在開端，細數每個後來才投保的險種，都是需要經歷一段時間後才讓企業產生主動投保的意識。雖說台灣已訂定《資通安全管理法》，推動公務機關等特定單位執行資安管理，但效果有限，這是保險業要努力的方向。

此外，按台灣企業多以法令要求被動規劃保險的習慣，林杰辰點出這是一個危機，法令是人類做的決定，但科技已經發展到自動化和人工智慧，若繼續舊有模式，顯然會是一場贏不了的比賽。

 

 

 

延伸閱讀：

資安專家＋保險公司 怎麼幫企業防駭?