如何戰勝攻擊中型企業的網路駭客

中型企業可能從未想過會成為網路犯罪的目標，但事實上，他們卻為駭客的首要目標。

依
據2019年10月份 安永全球資本信心晴雨表(pdf, EN) 指出，中型企業對網路安全最大之恐懼為商譽損害，再者為營運作業之破壞。

網路駭客攻擊對全球各大品牌所造成的傷害已不令人感到意外。對中型企業而言 – 年營收美金5千萬至美金3億之企業 – 是應該要和大品牌一樣擔心駭客可能對其商譽造成的損害。

除了考量對財務層面之影響，中型企業亦應擔心營運作業之破壞。相較於大型企業，中型企業之防禦稍嫌薄弱，更應擔心網路攻擊將帶來的其他影響。網路駭客攻擊招數越趨高明且不斷進化，因此資源不充足之中型企業難以與之抗衡。

許多駭客想間接借道中型企業植入特洛伊木馬來攻擊大型企業。因為大型企業通常設有專屬網路安全部門及系統，故直接發動攻擊的困難度較高。比起直接攻擊大型企業，更簡便的方式為自大型企業的供應商下手。例如，駭客可能將惡意程式碼上傳至供應商系統，當供應商與大型企業連線時就能傳輸至真正的目標系統。

相較之下，此種攻擊將對目標大型企業造成更大的負面影響，但中型企業也可能承受被客戶取消合約或列為拒絕往來戶而產生商譽毀損及財務損失。因此，雖然中型企業所遭受的損害可能不比大型企業明顯，但也將重創其財務層面，甚至直接導致中型企業之倒閉。

另外，薄弱的網路防禦會使企業失去競爭優勢。 安永全球資本信心晴雨表訪問中型企業，在將數據使用作為其競爭優勢時所面臨最大的挑戰： 27％的人表示，面臨網路威脅是最大的障礙，僅次於提高監管等級的28％。對網路安全缺乏信心導致中型企業不敢使用客戶資料及精準行銷等管道所取得的數據來獲取利益。

大弱點

所有接受安永訪問的中型企業都明白網路安全議題的重要性。但該威脅的規模，以及相應防禦所需之時間與資源對中型企業而言是很大的挑戰。許多中型企業沒有足夠資金或人力來因應技術的日新月異。

負責網路安全的人才普遍短缺，導致中型企業更難獲取如何建立網路防禦及相關控制之所需知識。與系統建置、開發與維護相比，精通網路安全的專業人才更為稀少。

因此，目前能提供合理價格的客製化建議或因應相關議題之技術人才極度缺乏。中型公司也未能獲取足夠數據用以建立正確的控制程度。

區域性問題

安永全球資本信心晴雨表指出各區域的不同之處。例如中國於2017年頒布嚴格的網路安全法規，使中國中型企業相較其他國家，更擔心面臨網路安全問題導致違規之處分。

另一個區域性的問題是，大多數網路安全預算以及人才都位於美國，而其他市場 – 包含南美、中美、中東、非洲、以及亞太地區之資源卻極為有限，但全世界大多數人口卻是居住在上述這些地區，因此造成資源之供需嚴重失衡。

再者，歐美許多中型企業將科技或後勤功能外包至新興市場，但新興市場之網路安全人才及能力卻極為有限。事實上，現今市場上多數合理價格的科技創新均來自這些國家。

故此，駭客能輕鬆藏身該等小型新興市場企業，等待中型企業來使用服務。如此一來，中型企業極可能遲至某日才驚覺早已成為木馬程式的受害者。

再次重申，接受安永訪問的中型企業都明白網路安全議題之重要性，但不知如何應對，或未擁有適合的網路安全計畫。就多數案例而言，健全的網路安全計畫均在被攻擊之後才開始制定與推行。

此外，供應給中型企業的較小企業更加不可能擁有健全的網路安全系統。因此，中型企業應在向較小企業購買軟體或服務，甚至是併購前，再次確認其安全性。

中型企業通常勇於創新並依賴外包資源但未必會檢查整合後的程式編碼品質。再者，有些企業認為購入的網路連接服務、資訊服務、以及雲端應用程式等，均應已內建網路安全系統，但事實並非如此。姑且不論賣家是否會提供該等服務，中型公司均應於整合系統或數據前，重新確認其安全性。另外，中型公司不應假設任何商業夥伴會配置正確等級的網路安全系統，即使是核心科技供應商。

上述弱點使我們需要再次強調，中型企業成為駭客的攻擊目標的可能性是多麼的大。如果大型企業是貴企業的服務對象 – 例如提供智慧電表硬體升級服務 – 您可能誤以為自己不是駭客的目標，但其實卻是駭客的首選標的。企業規模大小或產業類別並非分析網路威脅之因素，您更應該思考的是：「我們對他人會造成什麼風險?」

安全性設計

鑑於當前及潛在的威脅規模，很明顯地中型企業應投入更多的資源在網路安全議題。但這並不僅是投入的多寡 – 事實上投資程度與網路安全的達成間並無絕對的關聯性，而是將網路安全融入日常運作方可有效保護企業組織。換言之，增加投入並非指專款單筆的網路安全預算，而是在開發新產品、採購、以及商業服務時就將安全性納入考量並作為競爭優勢，這樣才能使企業的網路安全更有效率並逐年減少相關費用。

企業需要獲得正確的建議。對於網路安全，中型企業通常缺乏大型公司所擁有的資源。安永建議企業無需全力傾注於網路安全，反之，應與可提供優質網路安全系統之夥伴建立友好關係，協助企業打造以及定期評估健全的網路安全系統。在多數情況下，該等服務皆能從外包或共享模式取得。

別過度擔心

安永針對網路安全議題最重要的建議是不要輕易忽略但也不要過度緊張。不要害怕提問或深入了解網路安全議題。率先出擊遠比被攻擊後再等待他人告知應如何處置、或被動等待網路安全法規的頒布，會更有效率。企業應投入資源於軟體開發及應用程式安全測試、進行額外系統穿透測試以辨識網路安全缺口、選用值得信任、有足夠技術及能力之外包 （或共享）核心網路安全服務廠商，以利保護貴企業。

據安永及中型企業合作的經驗顯示，中型企業通常較為被動 — 針對網路安全只會在被攻擊後才有所作為。但長遠來說，及早解決問題才能有效降低相關成本