二○二二年後疫時代,產業法令納入資安要求,全面安全勢在必行。軟體供應鏈與身分認證需落實,防堵資安威脅。
隨著勒索軟體、資料外洩等事件層出不窮,許多企業開始意識到資安問題會帶來的營運風險。二○二二年,在資安發展有三大議題,分別是資安法規遵循、供應鏈安全及身分冒用的風險。
政府要求企業跟進 強化資安
在過去,雖然已有企業積極預防與因應資安威脅,主動將資安視為治理與經營的重要議題,但是,大多數企業仍是被動應付,且必須遭遇資安事件,才要處理和改善相關問題。
然而,二○二二年開始,政府要求上市櫃公司與金融業必須要設置資安長和專責單位,政府透過產業面的法規命令,要求企業遵循和建立資安管理的基礎,強化資安。
金融領域首當其衝。二○二一年九月一日至九月三十日,金管會旗下保險、銀行與證劵、期貨,先後公布修正內控與內稽辦法,要求符合條件的金融業者需設置資安長,緩衝期半年。
另外,二○二一年十二月月底,金管會要求上市櫃公司同意跟進修正內控準則,並給予一至二年緩衝期。二○二二年年底,資本額一百億元以上公司,或是上年度為台灣五十指數成分的公司、電子商務與人力銀行等公司,必須要設置資安長及專責單位,其他上市櫃公司,則要求在二○二三年底前完成。
軟體供應鏈 資安防護不馬虎
供應鏈威脅與日俱增,全球都在關注。供應鏈安全議題依然是二○二二年的一大重點,近年來已有數起嚴重的事件,攻擊者從企業使用的商業軟體平臺開始滲透,並潛伏達數月之久。例如二○二○年底、二○二一年初造成極大牽連的SolarWinds供應鏈攻擊,造成多個美國政府機關於大型企業淪陷;二○二一年四月的Codecov,以及二○二一年七月的Kaseya的事件,這些都印證這類複雜的供應鏈攻擊越來越多。
這也是美國政府何以在二○二一年五月頒布的行政命令(EO 14028)中,將改善軟體供應鏈安全,以及零信任架構的網路安全,視為最重要的資安戰略。現階段,台灣也期許在半導體與5G供應鏈安全領域,推動產業重視這樣的議題。在台灣,除了多年來強調的軟體業者要從安全程式碼開發做起,導入SSDLC(安全軟體開發生命週期)流程,供應商本身的安全如何要求和規範同樣受人關注。
SSDLC的出現是為了應對應用程式安全性面臨的日益嚴峻的安全挑戰。涉及資料洩露、侵犯隱私和其他網路威脅的事件在當今社會非常常見,任何沒有將安全性放在首要位置的軟體開發模型很可能導致開發公司的財務和聲譽損失。
因此,對於自身所處的各種供應鏈環節,不論是軟體開發商、合作的第三方廠商,以及企業用戶本身,應要有足夠而及時的資安警覺,對於各種形式委外服務的依賴度是否過高而導致高風險,企業應該重新思考。
身分冒用資安漏洞 滲透和攻擊多個產業
另一值得國內重視的資安威脅趨勢,是身分冒用攻擊。多起帳密外洩事件不但引發社會及企業實質的危害,加上各式社交工程的網路釣魚不斷,同時受到疫情的影響,都再加劇相關威脅態勢。
從二○二一年開始,國內發生假冒多家銀行釣魚簡訊詐騙案,網路犯罪者透過假冒銀行名義的簡訊、網站,騙取用戶帳密與OTP碼,進而將騙取的網銀帳戶,綁定至犯罪集團持有的手機裝置並盜轉;電信業者也發生線上申辦過程,身分查核不足,引起小額付款自動扣繳的漏洞;證券期貨商也發生投資人帳戶被盜,用於下單港股等事件。顯然,國內不論是銀行業、電信業與證期業,確實均遭遇到不同形式的身分冒用攻擊。
不僅如此,過去國內資料外洩事件引發的ATM解除分期詐騙案,與個資外洩有關,多半是詐騙集團掌握電商平臺的交易資訊,藉此取信民眾,並透過竄改電話顯示號碼,以及假冒電商客服與銀行人員來行騙。值得關注的是,近年攻擊者鎖定的目標,不只是電商平臺,還有普遍具有實體銷售據點的餐飲及服務業,甚至是愛心協會捐款系統,其會員系統資料與捐款資料都曾外洩,於是後來這些人員也都淪為詐騙的目標,受害範圍比以往更擴大。
因此,身分安全的議題仍是二○二二年關注的焦點,儘管基本資安與防詐意識、帳密安全觀念,以及強式雙因子的身分認證機制,已經不斷重申和宣導了許多年,但如何落實值得大家深思和探討。
文˙劉虹君
