推動數位轉型 資安危機不可忽視
研究機構對數位轉型的定義不盡相同,而數位轉型的碁盤取決於數位科技就緒度,即涵蓋資訊科技、通訊科技、自控科技等三大領域
採訪/施鑫澤‧文/林裕洋‧刊期/2022.2
近來轉型成為許多人朗朗上口的名詞,儘管各家機構對此定義不盡相同,不過一般來說可分成企業內外部加值的轉型,以及生存競爭的轉化等兩大部分。所謂企業內外加值的轉型,又可進一步分成改變內在、外在兩部分,例如當一個窮人家,舉家住進了豪宅社區後,可能為避免與周遭人事物差異過大,出現外在穿著改變,但內心思維並沒有改變的狀況。當然,也有可能在該社區生活後,內外等兩者同時改變。
[ 2022年度CIO大調查報告下載 ]
過去幾年,面對商業環境的變化、消費市場需求轉變,企業轉型儼然成為維持競爭力的不二法門,其重要核心在於思維轉換。然要造成思維轉換有兩個可能,首先是藉助外力,即是從別人看自己,這種是競爭思維的改變。其次則是自體進化,即是自己看別人,這種則是屬於生存思維的改變。
臺灣科技大學資訊管理系特聘教授吳宗成表示,而企業轉型的兩大成功關鍵,分別是組織變革、流程再造。要推動這兩件事情的難度很高,畢竟多數人都會抗拒改,而當推動組織變革時,可能會影響到部分單位、人等可取得的資源。至於流程再造,自然是改變多數人習慣的工作模式,因此引起反彈自然會更大。無論何者,都需要營運團隊支持、與部門充分溝通等,才可能達成企業轉型的目標。
至於企業轉型的類型可分兩種,分成同質轉型、異質轉型,其中同質轉型的風險低、時效短。至於異質轉型的風險高、適應難,不過若能轉型成功,有望順利延續企業的長期營運。
數位轉型碁盤 取決數位就緒度
從美中貿易大戰、COVID-19 疫情爆發,全球商業環境面臨前所未有的劇烈變動,也帶動企業加速推動數位轉型,運用各種創新科技改變營運體質,強化應對各種挑戰的能力。根據研究機構分析發現,2020 年企業推動轉型速度,比過去幾年總合要快上許多,至少約提早 5 年以上,也讓數位轉型成為多數人朗朗上口的名詞。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
研究機構對數位轉型的定義不盡相同,而各產業、公司的營運狀況亦迥異,自然推動方式與目標也有很大差異。不過,無論企業推動的方法、目的為何,數位轉型的碁盤取決於數位科技就緒度(readiness) ,這部分涵蓋資訊科技 IT、通訊科技 CT、自控科技 OT 等三大領域。至於數位轉型採用的手法,首先是蹲點跳升或另起爐灶,其次則是業務數位化或數位業務化,此部分沒有優劣的分別,而是取決於公司營運策略與目標。
吳宗成說,常見數位轉型的兩大類型,第一種是基於基礎建設的數位轉型,即是透過垂直整合上、中、下游,延展既有業務範疇,以達成內部管理、效能導向的需求,如 SCM、ERP、CRM 等。至於基於新興應用的數位轉型,則是屬於水平整合、異業結盟,藉此開拓新業務型態,如電子支付、租賃保險平台等。
數位轉型風潮 引爆資安危機
在企業大舉引進創新科技,推動各種數位轉型專案,以因應來自四面八方的衝擊時,往往忽略背後隱藏的風險。舉例而言,當原本屬封閉網路的 OT 環境,因智慧製造專案需要與 IT 環境介接時,很容易因為資安防護能力不足,遭到駭客組織運用與發動攻擊,如近兩年台灣高科技產頻頻遭到勒索軟體威脅。此外,當企業被迫緊急啟動居家辦公、遠端辦公機制時,也很容易因為連線機制欠缺防護能力,而爆發機密資料被竊取的憾事。事實上,根據資安研究公司調查發現,疫情期間企業遭受駭客攻擊的次數,遠高於 2019 年同期,對資安人員造成極大壓力。
面對數位轉型衍生的資安議題,資安人員最重要工作之一,自然是盤點生態系統的架構,如資料、軟體、硬體、人員、程序等,是否符合最低的資安要求。一套符合 IT、CT、OT 等環境的整合式資安防護關鍵,應該要從多面向進行評估,如資料的傳輸與儲存、資通網路安全協定、個資及交易資料庫等。而對於跨國企業來說,自然還得考量流程及法令遵循,如國內外相關法令及標準規範,以及產業規範等等。
「因此,企業若想要重新建構生態系統的資安韌性,在短期方面應該可從科技治理著手,如資料安全、軟體安全、硬體安全等。」吳宗成解釋:「中期工作則可從資安治理下手,如人員安全、程序安全。至於長期做法。則應該從數位化企業著手,即是從生態系統內的創新應用開始。」
至於在駭客攻擊手法多元下,企業要建置涵蓋 IT、CT、OT 等三大領域的整合式資安防護機制,應該從三大面向著手。首先是系統架構及服務串接,這部分涵蓋虛實整合系統介面、跨境跨時交易系統、新興科技應用等。其次,則是資料的傳輸與儲存,涵蓋資通網路安全協定、個資及交易資料庫等。最後一部分,自然是流程及法令遵循,這部分要考慮國內外相關法令及標準規範,以及產業聯盟及標準規範。
成本、效能、安全等級 追求三者平衡
儘管市面上資安解決方案非常多,要打造一套完善資安防護機制的難度看似不高,但實際情況並非如此,若沒有融入企業本身的營運特性、流程、可負擔成本等,恐怕難以達到預先設定的目標。基本上,企業在建構資安防護機制時,必須考量成本、資安防護能力、資安檢測效能等面向,才能兼顧可負擔能力、整體資安防護力,以及滿足同仁的工作所需等。
許多企業建構資安防護機制時,通常以為產品越貴越好、資安檢測越嚴格越好,但實務上則不然。畢竟各產業、企業的重要資料類型不同,如 IC 設計公司最重要部分,可能是設計圖、專利等,所以通常會採取虛擬桌面、實體網路隔離等作法,重心放在避免機密資料從用戶端外洩。至於醫療院所重心則放在保護 HIS 系統避免被攻擊,避免與病患隱私息息相關的電子病歷被竊取等,因此如何強化閘道端防護能力,反而是比較重要的工作。
吳宗成指出,另外,當資安設備的檢測標準放在最嚴格,例如採取針對所有類型檔案進行檢查等時,勢必會影響到整體網路封包的傳輸速度,所以必須要觀察是否會影響到應用服務連線品質,同仁的工作順暢度等。此時,可先從評估公司內部的資安風險屬性著手,在不影響整體安全的狀況下調整資安檢測標準,藉此提升整體檢測能力等。
過去幾年全球各地持續爆發嚴重資安事件,以至於企業遭受極大經濟損失、商譽後,多數公司終於開始正視資安防護的重要性,而政府單位也大力宣導資安等於國安的意識。因此,根據 CIO IT 經理人的調查報告,企業每年編列資安預算正逐步增加,主管機關也要求特定產業、企業,在爆發資安事件是必須進行通報。而鑑於金融產業向來是駭客鎖定的攻擊目標,金管會也要求一定規模以上的金融機構,必須設立資安長一職,以便落實各種資安策略。
因應企業資安防護能力提升,駭客也開始研發新型態的攻擊手法,以便躲過資安設備的檢測,也導致企業頻頻發生遭到入侵的憾事。由於不同品牌、類型等資安防護能力不同,因此以瑞士乳酪理論為基礎,透過拉長防禦縱深的方式,阻擋日益複雜的資安威脅,已經成為現行資安防護機制的主流。
藉由多種資安防護設備之間的搭配,可以一層一層過濾出潛藏於封包中的惡意程式,將公司面臨資安威脅降到最低。但不可否認,如同瑞士乳酪的孔洞一般,勢必會出現有部分惡意程式無法被偵測,以至於最終對對企業造成極大傷害。所以資訊人員應該要思考當爆發嚴重資安事件時,如何在最短時間內恢復公司運作,同時將遭受的資安威脅將到最低。
「企業的資安佈局策略思維重點之一,就是資安需求與資安部署是否相同。當兩者之間無法相互搭配時,不是花費大錢無法達成預定的防護效果外,就是資安防護能力不足,以至於還是頻頻發生遭到駭客攻擊。」 吳宗成解釋:「建議企業應該先了解自身的資安需求,這部分可透過專業資安團隊協助釐清,再依此部署合適的資安防護機制,才能真正將有限預算發揮最大效益。」
零時差攻擊增加 零信任架構成主流
根據勤業眾信聯合會計師事務所公布的「2021 年網路資安大調查」(2021 Future of cyber survey)報告指出,在數位轉型加速發展下,近七成(69%)受訪企業表示,2021 年遭受網路攻擊較往年有顯著增加之趨勢。儘管如此,企業仍計劃持續加速數位轉型之投資,以便因應來自四面八方的挑戰。面對數位轉型背後的巨大網路風險威脅,勤業眾信建議企業應秉持著「永不信任,始終驗證」(Never Trust, Always Verify)的概念,以零信任(Zero Trust)之精神建立核心架構,將資安防護意識嵌入各業務中,以全面提昇企業網路安全防護力。
吳宗成表示,近幾年可觀察到,駭客組織運用軟體、作業系統漏洞,發動零時差攻擊(Zero Day Attacks) 比例愈來愈高。在軟體業者尚未釋出修補程式之前,唯有建立一套永不信任的零信任架構,才是因應駭客攻擊的最佳策略。如此一來,企業才能達到保護機密資料,減少資安攻擊事件發生。
企業要推動數位轉型的難度不低,但堅定改變才能享受甜美的果實。所以建議公司應該要建立勇於改變並創造價值的 3Q 團隊,即溝通協調管理者(Communication Quotient) 、情緒溫度擘畫者(Emotion Quotient)、多才多藝執行者(Intelligence Quotient)等,才能確保數位轉型專案可行。
(本文授權非營利轉載,請註明出處:CIO Taiwan)