【經濟變.辨.辯】沒有硝煙的新戰場——我國資通安全面臨的挑戰
王仁甫 (2008/12/05) 《台經月刊第31卷第12期》
資訊安全事件類型日益複雜
近年來藉由隨身碟使用造成電腦間病毒相互感染與攻擊事件,以及混合型病毒蠕蟲事件、網路釣魚、間諜軟體、殭屍電腦等資安威脅持續發酵,依主計處96年電腦調查概況中可知,我國遭遇資安事件(含無損失比例),從95年的51.85%到96年之52.4%有稍微升高的跡象,其中資安事件以受電腦病毒感染的比例最高,政府機構對於病毒控制情形較佳感染比例為27.9%,而學校較為嚴重感染比例為58.3%,根據台經院「96年資安關鍵指標綜合研究計畫」調查,我國資訊安全事件來源源自內部比例仍偏高,此可透過內部稽核強化內部管理能力加以改善,但現行我國組織具主導稽核員比例仍偏低,使得稽核人員不一定能落實執行稽核,以促使組織資訊安全管理系統能有效運作。綜觀歐、美、日等先進國家皆鎖定上市企業或擁有多筆個人資料之相關企業,規範並要求其資訊安全防護能力,包含對上市企業進行內部稽核與防護能力評鑑等措施,我國也應朝向此一政策實行之。
且根據本文針對台灣2004人一般民眾調查,在家仍有五成左右遭受到病毒攻擊,其次是駭客攻擊,就2007年台灣為資安事件來源國之比例,我們可以發現此三項於2006年占世界比例皆在2%以上(表1),雖目前已逐漸有所改善,但遭受傀儡程式感染之電腦數仍相當嚴重,值得我國注意。在國內犯罪方面,電腦網路犯罪占全般刑案的比例,從95年的4.43%升高至96年的5.95%,可見我國一般民眾與企業面臨資訊安全事件已日趨複雜,未來資訊安全相關投入也勢必愈趨重要,詳見表2。
圖1 我國遭遇資安事件之發生率
表1 我國為資訊安全事件來源國之比例
表2 電腦網路犯罪占全般刑案的比例
政府部門對於資訊安全積極投入
面對日益複雜的資安環境,政府與企業是否有足夠防護投入作為因應,我們可以從主計處96電腦概況調查可見一斑,其中政府部門資訊安全預算占資訊預算比例為7.56%,低於96年美國9.08%,但與OECD建議10%差距不遠,而企業部門資訊安全預算占資訊預算比例主計處調查為5.4%(2006年為5.08%),且整體平均支出1.3萬元(95年平均1.13萬元),較美國(2008年)CSI調查平均6.2%為低,詳見表3;在人力投資方面,根據本文調查95年度我國整體專任資安人員占資訊人力比重為0.21,以學校機構最高,是由於其每家具資訊人力數最低,就每家平均具有資安人數而言,對政府、高科技大企業、金融業這類風險性偏高,組織龐大的公司來說,將資安工作由自己執行(in-house)可能比較符合經濟效益,因此大約有75%企業具資訊安全人員,平均每家專任1.38人,而兼任1.53人,為組織中配置比例最高,在政府機構方面有54.8%有配置資安人員,但由於礙於人事規定,使得專任比例較低,故每家專任平均0.4人,而兼任1.88人,但是對中型或小型企業來說,資安人力的配置可能要付出多餘的費用,僅22.25%有配置資安人員,平均每家只有0.27人專任,0.24人兼任,由此可知我國目前資訊安全投入主要問題在於人力資源投入不足,大企業雖紛紛設置資安主管,但其教育訓練投入仍需要再加強,而我國一般民眾在資安意識與認知已達一定水準下,相較中小企業資安意識仍較薄弱;學校雖宣導比例較高,卻無法投入相關人力與設備,是資安環境中較弱一環,我國雖在各項認證逐年提高下,電腦網路破案率也接近五成,但由於本國個資法等修法與立法尚未完善,於是對於擁有個人資料等大企業無法以法令規範(目前草案仍在立法階段),成為個人資料保護的闕漏面,詳見表4。
資安威脅、病毒攻擊、駭客攻擊、內部安全、資安防護、人力投入、防護設備、中小企業、資安法規、防毒軟體
分享:
