關鍵資安:企業展現韌性是追求永續的必要布局
文 / 吳乙南
企業永續,從早先所談的CSR(企業社會責任),以及現在最多談論的ESG(環境保護、社會文明、公司治理),想想現今存在的全球百年企業在當時可沒那麼多的制度跟規範,其實企業永續的心法可以很單純。但韌性一詞是COVID疫情到俄烏戰爭發生這一連串國家安全與經濟通膨最常出現的字眼,企業永續與企業韌性絕對是相互依存的,永續是目標而韌性是過程,歸納「營運不中斷」以及「建立信任」是企業永續以及企業韌性的交集。
沒有一位企業創辦人會希望公司可以不需要永續,企業執行長到每一位員工所期待的目標就是公司能夠永續發展,因為企業發展關係到社會、員工以及每個相關家庭的福祉,因此以天時、地利及人和來闡述企業永續的心法應該也可以符合現行ESG的精神:
天時:創業初心,對於當時的市場需求所提出企業產品以及服務客戶。
地利:透過行銷在市場上銷售產品以及服務賺取利潤,並擴大社會參與。
人和:人才的養成、組織的創新跟布局,以利他王道思維創造多贏。
投入資安防禦,增加企業韌性
而在擘畫永續大業的方向及進程中,黑天鵝甚至是灰犀牛總是在出其不意擾亂並危及企業的永續經營,也因此企業韌性就在於是否可以快速應變並減少其對企業的傷害,當企業無法保持韌性而應對黑天鵝的衝擊,企業永續就可能提早畫上休止符,斷了永續之路,因為企業有了韌性才得以化險為夷。
資誠聯合會計事務所(PwC)進行的2023全球企業領袖調查,對於未來一年內:通膨、總體經濟變動、地緣政治衝突、網路攻擊、健康因素、氣候變化以及社會不公是企業韌性的擾動因素,分別有不同層度的影響。我們可以理解的是許多議題並非企業自身所能應對,通膨深受全球以及本國政府貨幣以及財稅政策所影響,地緣政治則操控於大國政治,氣候變化是聯合國大聲疾呼的地球永續嚴肅議題,聯合國倡議補貼經濟貧窮的國家,因為未開發國家部分缺乏足夠能源發展經濟,因此就可預防並減少災損的實際面,應對網路攻擊的有效防禦並減少災損是操之在企業主本身,從數據看來網路攻擊在未來一年受重視的程度是20%,放眼未來5年則上升到25%,針對網路攻擊所投入的資安防禦是必要且可以有效的增加其企業韌性。
雲端網路遭攻擊次數年增48%,不可不慎
因為數位科技在人類生活及工作需求上引領人機操作的改變,網路攻擊則在現今的數位經濟上及科技創新應用上的頻率增高,依據Fortinet 2023網路安全報告:全球網路攻擊數量年增率38%,駭客組織為國家組織所吸收,如同代理人戰爭;其次在勒索軟體行動變得更加難以追蹤和究責,雲端服務上的第三方風險則是新的弱點,2022年雲端網路遭受攻擊的次數年增48%,也使得雲服務商把自己的可歸責的風險責任限於實體機房、以及實體的主機跟網路骨幹,跟之前的安全至上說法打了快四折。從主機伺服器漏洞遭入侵、工業4.0自動化控制機台遭駭到雲端服務的用戶自負風險增高,網路攻擊所造成的資安問題更是拉高到公司董事會必須所正視並且要求經理人落實資安防禦並進行資安防護的相關預算,以增加企業資安防禦韌性。
企業營運服務的中斷不只是造成客戶的服務不便利,也可能是產線的中斷影響到公司獲利以及股東權益,甚至有可能因為未即時發現的資安漏洞受網路攻擊,所蒙受的損失會有智財權遭竊以及客戶個人資料外洩的風險,這是公司治理上的隱憂,不能不正視,金管會在行動資安治理強調韌性,透過演練模擬遭受網路攻擊的應變步驟,並且強化資料的備份以及備援機制,行政法規也要求企業遇網路攻擊造成重大損失必須發佈重訊向客戶以及投資人做出具體報告。公司在每一年的資安防護策略也必須向董事會報告,並依據董事會決議落實資安預算以及防護目標,因為網路攻擊已經是日常運營所遭遇的風險之一,但也因為地緣政治的不穩定,零時差、針對性的持續攻擊已經讓資訊安全防護的工作更加燒腦。
企業須持續努力,提升員工資安意識
駭客以擾亂國家安定做為地緣政治的前哨戰,並以鎖定特定對象進行勒索軟體的攻擊,對很多企業造成財務上的損失,因此提升企業全員的資安意識是持續要推展的日常工作,而資安防禦面對網路攻擊原本就是一場不對稱戰爭,因為網路攻擊手法的防禦需要從縱深的布局、日誌的監控到事件被偵測而觸發通報,以孫子兵法謀攻篇「知己知彼、百戰不殆」,九變篇「無恃其不來、恃吾有以待之」,這就指引到攻防演練的情境模擬,以及資料備份、備援機制,是否讓企業的資安防禦韌性得以隨時準備,就看企業主對於企業成長過程中能否展現韌性達成永續發展的目標。