根據2023資安大調查的數據,臺灣有許多企業正面臨資安威脅,過去一年的整體遭駭指數甚至高達50%。隨著疫情之後許多企業開始採用混合辦公模式,企業內部機密文件、會議等已逐漸線上化,加上人工智慧技術的演進,資訊安全的重要程度日益提升,道瓊永續發展指數(DJSI)及台灣企業永續獎等指標性組織,更是將資安管理納入評比項目,強化了永續發展與資訊安全之間的關係。如何因應趨勢,提升內部資安技術,已然成為企業最新課題之一。
KDAN(凱鈿)長期致力於永續行動,透過提供一系列數位工作流程服務,協助企業達成永續目標。作為提供數位服務的公司,KDAN更致力提升內部資安層級,並取得 ISO / IEC 27001:2013 資訊安全管理系統認證,兌現保護客戶數據和資訊安全方面的承諾,並在資訊安全管理上達到國際認可標準。本文將奠基於此,進一步介紹資訊安全的定義、要素,以及企業如何因應資安威脅做出對應策略。
目錄
資訊安全是什麼?
資訊安全,常被稱為資安,是為了維護敏感資料的機密性、完整性與可用性,防止資訊被未經授權的訪問、泄露、竄改或破壞,而設立的一系列策略和措施,而這些措施不僅包括改變或設定密碼的基本行為,更是全面性的管理過程。一旦敏感資訊,例如客戶資料、高層管理階層、金流紀錄、專利技術等,落入惡意人士之手,個人或企業都將面臨嚴重風險。因此,實施高效的資訊安全措施,例如密碼管理、存取控制、加密和定期安全審查等多元策略等,並使之成為個人與企業日常運作的核心部分,是防範網路犯罪和保障資訊資產安全的關鍵。資訊安全三大要素是什麼?
資訊安全的核心守則常被歸結為「CIA」三要素,包含「機密性(Confidentiality)」、「完整性(Integrity)」與「可用性(Availability)」。這三項基石不僅是企業策劃和實行資訊安全計劃時的指南,更能保障企業數位資料的安全,幫助企業防護不斷演進的資安威脅。
機密性(Confidentiality)
隱私權是提及資訊安全最基本的概念之一,而機密性則為其延伸,確保僅有被授權的使用者、系統才能接觸、存取到敏感資訊,而此目標則可透過一些企業內部工具與技術達成,例如資料加密、多重要素驗證等方式實現。
完整性(Integrity)
完整性的核心重點為要求資料在其生命周期內,應保持未被篡改的狀態,這表示任何未經授權的使用者,皆不應該被允許存取、更改資料,並應該被提前偵測與阻止。此目標則可以透過實施檔案權限設定、管理存取控制機制達成。舉例而言,KDAN旗下產品點點簽DottedSign所提供的數位簽章服務,即運用了演算法和加密技術,只要在文件「各方簽署完成」時,就會使用以KDAN為名的數位憑證,壓在文件裡作為彌封,保護企業簽署完成文件的完整性。
可用性(Availability)
可用性的重點為確保使用者在需要資料時,能夠順暢而可靠地存取,而這通常涉及到硬體維護、系統更新等持續的技術工作,以確保資料隨時可供使用。
資訊安全的執行項目有哪些?
資訊安全是確保個人和企業資料安全不可或缺的防禦系統,並可以依照不同情境、不同策略而有不同類型的執行項目,以下分別介紹各種類型的資訊安全執行類別:
應用程式安全性
應用程式安全性是指保護軟體本身及內部資料不被惡意攻擊所利用,這將與企業設計軟體時安全的認證流程、實施程式審查,以及加固應用程式目標環境等有關。
雲端安全性
雲端安全性是指針對雲端服務進行特別保護,包括資料、應用程式、存取控制權與基礎結構等元素,而若企業是使用或給予客戶共用的雲端環境,如何防止跨租戶安全事件更是關鍵。
加密
加密是指透過將資料轉換為難以解讀的格式,加以保護的過程,無論資料是在傳輸中還是儲存的過程,加密都可以用於保障其機密性和完整性。KDAN旗下產品KDAN PDF Reader也結合了最新的AI技術,推出密文遮蔽功能,讓企業在分享文件之前自動偵測並遮蔽敏感資訊,確保符合隱私權法規,也能保護資料安全。
事件回應
事件回應包含了對資訊安全事件的預防、偵測識別、分析、阻止與復原策略,是一個全面性的程序,是企業在執行資訊安全時最基本需具備的一系列流程。
基礎結構安全性
基礎結構安全性是指防護企業的網絡和系統硬體,包括服務器、工作站和路由器等,這不僅可以防止外部攻擊,也可以防止物理上的損壞。
弱點管理
弱點管理是一項系統性的流程,意指企業應識別、分類、修復與緩解內部的資訊安全弱點,透過定期的弱點掃描和風險評估,保持系統更新,企業將能確保一定程度的網路安全。
災害復原
災害復原是指當災害發生時,企業將重要資料和系統的快速恢復的能力,企業應事前製定災害復原計畫,並進行定期演練,降低可能災害對企業運作的潛在影響。
KDAN 凱鈿
- 致力打造無紙化數位工作流程
- 創造與擁抱多元共融社會
- 透明、專業、負責任的管理機制
了解我們如何帶領企業,一起邁向永續經營的未來
關注追蹤常見的資安威脅有哪些?
隨著網路普及,資訊安全威脅的類型也越來越多,攻擊者不停改變攻擊、詐騙手法,企業與個人則必須經常更新、了解最新型態的資安威脅有哪些,進而提前預防,避免新手法出現之後上當受騙,導致大規模損失,以下將舉出幾種近年來經常出現在新聞中的資安威脅類型:
網路釣魚攻擊
釣魚攻擊是最為常見的資訊安全攻擊,攻擊者會通過偽裝成可信任的來源,寄發電子郵件、訊息等,誘導受害者提供敏感資料,如登入憑證或個人資訊。
商業電子郵件詐騙(Business E-mail Compromise,BEC)
BEC的目標通常是經常執行電匯付款的外國供應商或企業合作伙伴,主要透過社交工程手法,例如以企業員工的電子郵件帳號,作為攻擊途徑。而這類攻擊與網路釣魚最大的不同,是其所針對的對象,通常會是以郵件溝通的企業合作夥伴,或是高層主管,且不會像釣魚郵件一般大量發送郵件,而是會潛伏一段時間後,伺機發送郵件給相關人員,而企業一旦遇害,通常損失規模都十分龐大。
進階持續性威脅 (APT) 攻擊
APT 攻擊是一種複雜的網絡攻擊,攻擊者會長時間滲透在組織網路中,並持續監控或竊取企業資訊。這種攻擊會針對特定目標,並使用極度隱密、精細的手法,以避免被企業日常的防範偵測到。
分散式阻斷服務 (DDoS) 攻擊
DDoS 攻擊是指透過大量生成的網路請求,使線上服務或網站失效,這樣的攻擊將導致網站原先可以承載的流量超出預期,進而無法正常運作,對於經常會有客戶進入網站的企業而言,例如電商等,這將會是非常需要重視的一項攻擊。
偷渡式下載攻擊
許多惡意網頁在使用者進入時,會在其不知情的情況下自動下載和安裝惡意軟體,使用者卻往往不會發現,甚至發現後已來不及,這將可能會在使用者的系統中安裝間諜軟體、廣告軟體或其他型態的惡意程式,進而竊取一些機密資訊。
內部威脅
有時企業內部人士無意或故意外流出的機密資訊,往往是最大量的。因為這些內部人士可能具備內部訪問權限,卻未注意或故意洩漏企業機密資料,甚至協助危害公司資訊系統的底層安全性。
社群軟體攻擊
隨著社群軟體的普及,許多攻擊者會使用社群軟體平台進行攻擊,近年來的案例層出不窮,包括散布惡意連接、偽造身份詐騙、假帳號詐騙以及盜用個人訊息等。
2024年最新的資安潛在威脅有哪些?
AI的潛在資安威脅:
根據Gartner的最新數據,高達80%的企業將在2026年使用生成式AI的模型、API,或在企業環境中導入生成式AI的使用。然而,AI技術於近年日漸茁壯,卻也逐漸變成了駭客利用的新型工具,他們可以藉此快速自動生成釣魚郵件、不斷更新惡意軟體,甚至製作逼真的偽造影像進行攻擊。這也將AI變成了資訊安全的雙面刃,將在未來對企業和個人帶來新的挑戰。在面對AI的潛在資安威脅,許多將產品結合AI功能的企業也必須謹慎處理客戶資料,舉例而言,KDAN的旗下產品KDAN PDF Reader,結合了KDAN AI,打造AI多元智能化的服務,例如密文遮蔽、聊天機器人等,也同時為遵守與客戶的承諾,嚴格遵守GDPR法規,在資料儲存和傳輸方面採用業界標準的SSL安全協定,並對特定資訊進行加密傳輸,保障企業資訊和帳戶安全。
政治衝突及重大事件面對的威脅:
國際政治衝突和重要公開活動(如選舉和奧運會等),都提供了駭客行動的舞台,增加了由國家支援的駭客行動發生的機率,這些事件將可能在未來吸引大規模的DDoS攻擊,與針對性的社交工程攻擊,企業將可以預先了解可能出現在的潛在威脅並預先防範。
雲端服務的安全漏洞:
隨著疫情之後企業與個人多開始採用混合、遠距辦公,企業與個人對雲端服務的依賴日益上升,駭客亦可能針對雲端平台的安全漏洞進行攻擊,導致資料洩露或服務中斷,企業將可以先針對這些潛在攻擊的威脅預加防範。
企業如何因應資安威脅?有哪些資安防護措施?
臺灣政府為明確規範政府機關的資安等級,訂定了資通安全責任等級分級辦法,並依照各機關職務內容對應需負擔的資安責任,由最高至最低分成A~E等級。對企業而言,雖不適用這套政府資安規定,但其概念十分明確,企業在評斷內部資安策略需執行到何種程度,便可以參考這套標準執行。以下也將介紹幾項企業可以採用並導入的資訊安全策略,幫助企業不論是甫接觸或整在轉型中,都可以有所依據,達成資訊安全的佈局。
採用資訊安全管理系統 (ISMS)
ISMS提供了一套完整的框架,協助企業識別、評估並應對資訊安全風險,同時也確保了緊急情況時的持續性業務運作。國際知名的規範 ISO 27001即是ISMS的規範之一,遵循此標準,企業將能夠建立起全面性的資訊安全政策。面對特定威脅時,企業也可以依據ISMS標準化內部應對措施,迅速按照預定的事件回應計劃行動,包含建立應急小組、辨識威脅來源、執行必要補救措施以及評估並報告損害情況等程序,並適時通報所有相關利益相關者。透過ISMS的持續實施與改進,企業不僅能加強資訊安全防護,也能增加對未來威脅的抵抗力。
強化企業內部人員技術與資安意識
在面對日益猖獗的資安威脅下,企業更應注重內部資訊安全人員的專業培訓與技術提升。企業可以鼓勵內部資安人員取得資安證照,例如CompTIA Security+、資訊系統安全認證專家(CISSP)等,以驗證其防範、應對和管理資安事件的能力。除此之外,企業亦可鼓勵、補助員工參加由國際資訊系統安全認證協會等非營利組織所開設的專業進修課程,或透過廠商的專門培訓來掌握最新的資安技術和趨勢。藉由不斷強化資訊安全團隊的專業知識與技術,企業便能在防護戰中保持優勢,有效降低資安風險,保障企業及客戶的資料安全。除了資訊安全人員以外,企業也可以加強日常內部員工的宣導,並定期執行社交工程演練,讓內部員工了解可能會遇到哪些惡意攻擊與資安威脅,全面防護企業資安。
導入一般資料保護規範 (GDPR)
GDPR 全名為「General Data Protection Regulation」(一般資料保護規定)」,雖是歐盟所發布,但其規範範圍很廣泛,只要符合下列條件就必須適用 GDPR:客戶有歐盟公民、企業有聘僱歐盟公民、員工與歐盟供應商合作、非營利組織與政府也適用。GDPR 要求企業必須在資料外洩發生時立即通知相關人員,並持續監控數據安全狀態。此外,企業需要指派專職的資料保護人員(Data Protection Officer,DPO)監督資料保護政策的執行和遵守情況,並作為監管機關和資料主體之間的橋樑。GDPR 也要求在處理任何個人資料之前,都必須取得使用者的明確同意。GDPR 也要求匿名化處理資料,大幅降低了在資料洩露事件中暴露個人識別信息的風險。企業如要導入GDPR,則需要實施一系列技術和組織措施,例如定期進行資料保護影響評估(DPIA)、加強數據加密、限制對敏感資料的訪問,與提升員工對GDPR合規性的意識,以符合GDPR的嚴格規定,並確保資訊安全。KDAN也致力於保護用戶資訊安全,在搜集客戶資料上嚴格遵守GDPR,並執行一系列措施,例如持續更新隱私權政策、服務條款和資訊安全政策與各產品合規要求等,確保GDPR合規性。
與KDAN攜手重視資訊安全,邁向永續發展
KDAN(凱鈿)長期致力於永續行動,透過提供一系列AI智能化數位工作流程服務(例如KDAN PDF Reader、KDAN Office、點點簽DottedSign),在協助企業達成數位轉型目標的同時,更減少企業原先因為紙本浪費或遠距實體移動等造成的環境負擔。在照顧員工、社會議題與資訊安全上,也推動許多政策,期許能為環境與社會貢獻心力,也希望能夠透過這些微小的行動,讓更多企業認識到永續經營的不同作法與可能性,與KDAN共同邁向永續經營的未來。