啟動數位韌性第一步：數位應變力 - WTW

近年來，國際間倡議數位韌性（Resilience）趨勢。

資通安全管理法（資安法）於今年1月1日開始實施，我們整理三點目前的業界觀察。

跳回主要內容 language TW|ZH expand_more 新聞中心 研討會及活動 投資人關係 人才招募 menu close 功能表 關於我們 arrow_right arrow_left關於我們 公司概述 領導團隊 歷史沿革 包容與多元性 全球韋萊韜悅 解決方案 arrow_right arrow_left解決方案 人才 arrow_right 從如何完成工作、如何衡量工作的價值，到改善員工的健康和財務狀況，我們提供全新的視角。

arrow_left人才 探索全部解決方案 keyboard_arrow_right 氣候 薪酬策略與設計 網路風險管理 ESG與永續性 高階主管薪酬 工作未來式 員工健康與福利 包容與多元性 併購與收購 退休金 人才 整體獎酬 整體性的身心健康 風險 arrow_right 在充滿不確定性的世界，管理風險的能力是您成功的關鍵。

arrow_left風險 探索全部解決方案 keyboard_arrow_right 航太與太空 合作型保險 專屬保險 意外事故保險 風險控管與代理索賠 氣候 企業風險工具與科技 信用、政治風險與恐怖主義保險 網路風險管理 環境保險 ESG與永續性 金融及董監事責任風險(FINEX) 員工健康與福利 保險諮詢與科技 投資 併購與收購 個人業務和私人客戶 財產保險 退休金 風險分析諮詢 資本 arrow_right 充分利用您的資產意味著解決一個複雜的風險和回報方程式。

arrow_left資本 探索全部解決方案 keyboard_arrow_right 專屬保險 氣候 信用、政治風險與恐怖主義保險 網路風險管理 ESG與永續性 保險諮詢與科技 投資 併購與收購 焦點話題 arrow_right arrow_left焦點話題 專家觀點 熱門話題 arrow_right arrow_left熱門話題 新冠疫情下的超前部署策略 主導航選單結尾。

請點擊返回選單的開頭，或按Esc鍵關閉選單。

新聞中心 研討會及活動 投資人關係 人才招募 language TW|ZH arrow_right language TW|ZH expand_more arrow_left language TW|ZH close Chooseyourlocation Selectthelocationandthelanguagethatyouprefer Americas arrow_drop_down ListofwebsitelocationsandlanguagesavailableinAmericas Location LanguagesAvailable Argentina Spanish Bermuda English Brazil Portuguese Canada English French Chile Spanish Colombia Spanish Mexico Spanish Peru Spanish UnitedStates English Venezuela Spanish Asia-Pacific arrow_drop_down ListofwebsitelocationsandlanguagesavailableinAsia-Pacific Location LanguagesAvailable Australia English China SimplifiedChinese HongKong(China,SAR) English India English Indonesia English Japan Japanese Korea Korean Malaysia English NewZealand English Philippines English Singapore English Taiwan TraditionalChinese Thailand English Vietnam English Europe arrow_drop_down ListofwebsitelocationsandlanguagesavailableinEurope Location LanguagesAvailable Austria German Belgium English French Flemish Croatia English Croatian CzechRepublic English Czech Denmark Danish Finland Finnish France French Germany German Greece Greek Hungary Hungarian Ireland English Italy Italian Kazakhstan Kazakh Russian Luxembourg French Netherlands Dutch English Norway Norwegian Poland Polish Portugal Portuguese Romania Romanian Russia Russian Serbia Serbian Slovakia Slovak Spain Spanish Sweden English Swedish Switzerland English French German Turkey Turkish Ukraine Ukrainian UnitedKingdom English MiddleEastandAfrica arrow_drop_down ListofwebsitelocationsandlanguagesavailableinMiddleEastandAfrica Location LanguagesAvailable Cameroon English French Congo French Egypt English Ghana English IvoryCoast French Israel English Jordan English Kenya English Kuwait English Lebanon English French Mauritius English Nigeria English Senegal French SouthAfrica English UAE English Uganda English 搜尋 search close 我們能協助您找到什麼？ 資安不只是國安 當政府喊出「資安即國安」時，是否資訊安全僅是政府的事？ 除了公務機關、國營事業與財團法人，資安法的對象涵蓋提供關鍵基礎設施（CriticalInfrastructure，簡稱CI），這也是特定產業須遵循的法令。

在行政院尚未公告CI名單之前，業者大多採取觀望的態度。

除主管機關要求或少數自身重視的業者，普遍缺乏設置資安專責單位與專責主管，更別提及有待強化與整合的風險評估與應變計畫。

資安是極複雜、極具挑戰的課題。

駭客技術與時俱進，資訊部門仍以「銅牆鐵壁」的防禦思維，很難因應駭客「木馬屠城」的戰術。

有些集團IT系統隨著事業群發展而分散管理，缺乏掌握整體性的全貌。

根據過往資料外洩的記錄，超過四成的資安事件和二至四年前系統漏洞有關。

尤其是製造業為主的營運科技（OperationTechnology），內建系統可溯及WindowsXP。

一旦營運科技上線之後，多半不願意進行修補程式(Patch)更新，以免影響產線的生產良率效能。

另一個現實的挑戰在於老舊的資訊系統（Legacy）多半停止提供修補程式更新服務。

倘若這些Legacy系統仍在堪用階段，資訊部門很難大刀闊斧更換全公司的系統。

另一方面，公司負責風險管理的風險管理部門、工安衛部門或保險單位並不熟悉資訊系統，很難規劃資安所須的沙盤演練、緊急應變資源，甚至安排保險保障。

今年在某跨國知名企業面臨重整之際，嚴重的資安事件更讓他們的營運雪上加霜。

該董事長說，他們的事件打破航空業個資外洩的歷史紀錄，為影響公司存活的重大危機。

因此，資安不只是國安，還是業者存活的競爭力。

資安也是工安 某次和客戶資訊部門討論資安事件的損失。

他提到，不像是天然災害或工安意外，資安事件很難量化非實體資產的損失。

在大「智慧」應用的帶動下，資安也跨足安全領域。

以目前隨處可見網路攝影機，其系統的簡易密碼與安全漏洞常被人輕忽。

除監控影像可能流落駭客之手，駭客也串連攝影機進行大規模DDoS癱瘓攻擊。

就連智慧型車輛也不例外。

三年前，研究者披露車用影音娛樂系統的漏洞，可透過網路遠端控制方向盤與煞車。

此事影響全球上百萬同級車輛。

在漏洞揭發後三個月，兩成不到車主進行修補程式更新。

這反映出使用者的真實行為：即便是資安漏洞可能會影響行車安全，但在缺乏誘因或強制性功能（如：未更新Patch就無法發動車輛）之下，用戶仍缺乏更新Patch的行動力，行車安全的漏洞依舊存在。

上述的議題為筆者在日前中研院主辦「自駕車發展應用與法律規範」工作坊分享的觀念。

在會中，自駕車軟體業者坦承軟體設計未考慮到「電車難題」（TrolleyProblem）：如果車子設備故障快要撞到人，到底車內軟體如何進行價值判斷？是否自駕車選擇撞倒老人或小孩？女性或男性？一群人或一個人？此外，某位風險管理客戶在集團會議中觀察到，集團董事長討論事業總經理的風險管理時，該總經理回答把業務經營好就沒有風險。

這凸顯高階主管普遍缺乏風險管理意識，非要等到面對法律與保險議題時才會認真思考。

因應物聯網的應用趨勢，資安與工安界限不再逕渭分明，而是要整體性的全盤思考。

資安讓你心安 資安事件來得急，退的慢。

我們和駭客處於不對等的競爭，像是「敵暗我明」的狀態。

根據趨勢科技的觀察，駭客平均潛伏在組織內超過百日，充分掌握IT與高階主管的帳號密碼，也就是他們「比IT人更IT」。

一旦爆發資安事件，可疑行為與帳號的清查可長達數周甚至數月之久。

在面對數日內召開記者會的壓力，高階主管如何避免處理不當而引發的「蝴蝶效應」呢？ 一旦防禦性的設備失效或失靈，隨即啟動資安減損與移轉資源。

在過去二十年間，資安保險為國際上處理重大事件的慣例。

除了事故理賠之外，資安保險也會引介外部專家與團隊資源之協助，如：保險、鑑定、復原、公關、律師等。

外部資源引介需在事前溝通，如：教育訓練、測試或演練，以避免客戶在緊急應變時無所適從。

藉由最佳化的資源配置，高階主管每晚可以睡好眠，不再半夜被緊急電話驚醒。

資安就像是馬拉松賽跑，這是與隱形駭客的耐力賽。

除了技術之外，全面性資安管理涵蓋風險評估、應變計畫，以及稽核、通報與演練程序等。

一旦出現緊急突發事件，事後應變是百米衝刺賽。

在分秒必爭的壓力之下，公司啟動緊急應變小組，立即與外部專業團隊一一對接。

這就是數位韌性最佳實務的第一步，數位應變力。

本文同步刊載於工商時報A6版專家傳真及中時電子報。

欲進一步了解數位韌性及發展應對策略，歡迎聯繫韋萊韜悅風險管理顧問： BrightWu吳明璋+886287262880 聯繫我們 吳明璋BrightWu 韋萊韜悅風險管理與保險經紀資深協理 電子郵件 | +886287262880 相關內容 觀點分享 「算命」科學版，大數據將為風險評估「開天眼」 觀點分享 牆夠厚就不怕「駭」？請改掉錯誤資安思維 觀點分享 資安事件不是運氣問題！請用精準規劃減低風險 Relatedcontenttags,listoflinks 觀點分享 風險分析諮詢 網路風險管理 企業風險工具與科技 保險諮詢與科技 科技、媒體與電信業 台灣 ContactUs