萬物聯網、人工智慧開啟資訊應用新紀元,也為企業帶來更多機會和挑戰;不論企業規模都需要以全新思維將資安置入基礎管理架構,以面對愈來愈嚴厲、懲罰規模驚人的資訊應用和法規挑戰。
從二O一七年末,各大資訊和網路安全機構便陸續發表資安報告,預測未來幾年全球將面臨前所未有的資安威脅,個人和企業資訊的保護刻不容緩。這些預測並非危言聳聽,新一代資訊駭客已經引入各種人工智慧等技術,透過難以計數的網路入口進行攻擊,傳統防火牆與防毒架構早已無法應對。資訊安全已經從外加的措施轉變為基礎管理核心,企業需要以全新思維面對相關議題。
資安治理已成顯學 法規限制日趨嚴峻
嚴格來說,企業面對的資安問題並不僅是公司內部管理問題,隨著全球資訊應用深化,為保護市場秩序和安全,各種管理法規也相繼面市。例如自二O一八年五月起生效的歐盟GDPR(General Data Protection Regulation,一般資料保護規範)、東南亞各國遵循的PDPA(Personal Data Protect Action,個人資料保護法)…等,都是企業運營時必須重視的項目。
全球資訊安全領導業者Sail Point亞太區總代理兆勁科技董事長紀政孝指出,傳統的資安維護重點在保護企業運作順利,而新觀念則擴及到確保客戶隱私,大幅將資安由封閉性的內部事務,推展到全面性保護的複雜管理上。由於使用者數量龐大,一旦觸犯法規,其處罰規模往往令人咋舌。
以英國ICO (資訊安全委員會 https:// ico.org.uk ) ,於二O一八年五月二十五日至今為止,已有一百七十家以上確定罰款,尚有近千家被調查中。
這樣的資安概念與傳統思維大不相同。過去是防止破壞,現在則專注於避免不當存取,然而資料存取本是資訊系統運作的必要行為,十分難於防範。
聯網普及提升資安難度 智慧型管理不可少
而在5G即將問市、萬物聯網時代屆臨的現在,企業資安管理可預見將更為困難。「管理的重要關鍵在身分識別和資料存取治理」,紀政孝表示。所謂身分識別至少包含兩個層面,其一是資訊使用者的身分和權限,其二是他的使用行為。根據Sail Point和兆勁服務的案例,企業使用多個異質系統進行管理是一常態,例如人事、電子郵件、ERP等等,加上其他如傳真、門禁等設備,未使用的「幽靈帳號」經常無法避免,成為駭客入侵跳板。
「用戶數量加上系統運作時間,往往導致資訊系統管理困難,成為資安漏洞」,紀政孝指出,「事實上日前幾個全球知名金融犯罪案例,就是駭客利用如電話總機等看似無關緊要帳號,智慧入侵的結果」。可以想見,萬物聯網之後將存在更多帳號和用戶,使企業內部網路更形錯綜複雜;面對這樣複雜的異質系統帳號管理,便需要導入智慧化資安工具,定位並且分析各個帳號屬性和異常行為,預防並監管可能的資訊安全事件。
資安與企業治理是一體兩面的未來趨勢
「我們現在將資安視為企業治理的一部分,而不僅只是技術問題」,紀政孝認為,資訊應用的存在已是經營必要元素,無論何種規模企業,都應該及早重視資訊使用的有效管理。「這是為何Sail Point能獲得國際四大顧問公司、會計師事務所支持,並且得到全球超過千家金融、政府、軍方、大型科技企業導入的重要理由」,紀政孝指出,「對當今企業來說,資安治理除了保護公司運作和商業機密外,也同時是避免觸法損失、以及維護企業形象的必要作為,更能提升企業經營績效」;Sail Point憑藉領先的技術和全球導入實績,能夠完整地符合最新法規規範,同時支援各種異質系統的整合管理,有效協助企業落實資安;而兆勁本身更有軟硬體整合的堅強實力,以及專業團隊提供系統導入服務,現在已經是Sail Point亞太區最重要合作夥伴。
安侯法律事務所 翁士傑執行顧問
GDPR 對企業的最大挑戰不只是鉅額罰鍰,而是將隱私保護精神、落實於企業產品及服務流程中,將個人資料自主權交回消費者手中,產品及服務才能於歐盟市場自由流通,獲得消費者的認同。
兆勁科技股份有限公司 紀政孝董事長
5G時代將開啟萬物聯網的嶄新世界,作為未來企業不僅要開展領先的運作模式,嚴密的資訊技術及保護使用者隱私,更是未來企業必備的資安專業需求。