文/鄭宜芬
資安議題已成為中小企業經營挑戰,衝擊產業合作機會與數位信任。數位發展部資通安全署 31 日舉辦「中小企業資安服務上路」記者會,正式啟動中小企業資安輔導系列措施,以「跨部會整合服務」、資安指引「企業自我檢核資安現況」,及「實地資安健檢」三大策略,協助企業逐步建立資安防護能力,落實「資安防護,政府相挺」。
[ 加入 CIO Taiwan 官方 LINE與 Facebook,與全球 CIO 同步獲取精華見解 ]
社交工程不斷進化 勒索軟體席捲企業
資安署提醒,不要以為中小企業規模小不會被駭,其實只是還沒被盯上。根據調查,有 43% 網路攻擊針對中小企業、88% 中小企業資料外洩涉及勒索軟體、20% 中小企業恐因資安事件重大影響公司財務營運。
最常見的手法是社交工程和勒索軟體席捲企業,社交工程利用人性與信任關係的弱點,只需一封電子郵件,就讓企業帶來財務損失。資安署舉例,曾有一封客戶詢價的 E-Mail 癱瘓工廠,數百 GB 資料一夕蒸發;還有勒索軟體利用系統或備份的漏洞,只需一次入侵,就能將企業多年經營心血全數加密鎖死。
[ 推薦閱讀:企業準備面對 CRA 的第一張考卷 ]
中小企業資安輔導 產官學研公私聯防
資安署表示,此次措施呼應第七期國家資通安全發展方案「全社會資安防禦」之推動策略,透過具體輔導機制,讓中小企業更易於落實資安防護措施,引導中小企業由「無從著手」,到有人引路、有序推動資安。
- 跨部會整合服務
在跨部會整合服務方面,資安署與經濟部中小及新創企業署合作,於「馬上辦服務中心」提供資安諮詢服務,企業僅需撥打免付費專線 0800-280-280,或透過 24 小時線上智慧客服即可獲取資安協助、排除基本問題,自 2 月上線至今已突破上百次諮詢量。
此外,為了提升企業內部資安意識,資安署同步於「中小企業網路大學校」網站上架豐富的線上學習資源,包含資安教育訓練影片及「資安星際指南」電子書,讓企業能隨時隨地免費獲取基礎防護知識。

- 企業自我檢核資安現況
在資安指引自我檢核資安現況方面,資安署參考國際相關資安要求,3 月 27 日已於該署官網及台灣電腦網路危機處理暨協調中心(TWCERT/CC)官網公布適用我國的「中小企業基本資安防護指引」及自檢表,將專業的資安要求轉化為明確易懂的清單,涵蓋帳號管理、設備管理及資料備份等實務建議,例如啟用生物特徵二階段驗證,以及落實資料保留 3 份、儲存於 2 種媒介、1 份異地存放的「3-2-1 備份原則」等,讓中小企業透過自檢表進行檢核,循序漸進地建立資安基本防護。

- 實地資安健檢
在實地資安健檢方面,資安署進一步說明,將資安能量扎根校園、走入企業,委由國家資通安全研究院補助大專院校資安領域教師開設實務型資安課程,學生先接受扎實訓練,再組成「資安健檢團」投入實地服務,深入了解中小企業運作現況並提供資安改善建議。此教學模式源於美國柏克萊大學創始之「資安診所聯盟(Consortium of Cybersecurity Clinics, CCC)」作法,引導對有志學習資安實務的大專院校學生走出校園、進入在地場域,將課堂上所學資安知識與實務技能應用於真實情境,在培育資安人才的同時,也能幫助中小企業增加資安意識與導入資安防護措施。

[ 推薦閱讀:資安成為供應鏈信任門檻 以 CSF 2.0 建立信任基石 ]
資安署強調,透過三大策略及相關配套政策,協助中小企業找到所需資安資源,未來將與產業公協會合作,建立政府、產業常態性溝通管道,擴散並深化資安輔導量能;媒合資安、資服業者,協助中小企業導入整合型資安解決方案,加值企業價值;並針對各別產業特性與需求,培育中小企業資安種子師資,創造公司內部資安擴散能量。
(本文授權非營利轉載,請註明出處:CIO Taiwan)















