Skip to main content
觀點分享

資安事件不是運氣問題!請用精準規劃減低風險

Cyber Risk Management
N/A

作者 吳明璋 | 2018年8月21日

資訊系統極其複雜,駭客找到攻擊漏洞實屬難以避免。正如前文所述,資安不只是 IT 的事,需要跨部門協同合作。正因為如此,企業應該及早積極部署,降低風險、風險移轉,以及做好準備,若有一天發生資安危機事件,企業得以在最短時間內有效因應,而且不致於因此被擊倒破產。

2014 年 1 月,美國知名零售公司公開承認,該公司系統被駭客入侵,竊取了超過七千萬筆個人資料(包括姓名、電話、電子郵件),以及四千萬筆信用卡或金融卡交易資訊。因為這次資安事件,該企業身陷超過 140 個訴訟案件,最後支付的和解金超過1億1636萬美金,總經理、資安長先後下台。

是的,資安一旦出事,就可能這麼嚴重。很多企業若受到此等規模的打擊,可能直接破產。企業該如何管理資安風險呢?

【有備「少」患】

近年來,電腦病毒不只是讓我們的電腦當機,它更常是勒索與詐騙的一環,例如,鎖住電腦或癱瘓系統要求贖金、以假冒 CEO 的電子郵件指示員工匯錢到駭客的帳戶。竊取技術資料、客戶個資,也是駭客常瞄準的目標。在技術上,這些事情並不困難,一個略有規模的企業極難避免。 因此,一個有資安風險意識的企業,平時應該要做到這些事項,減少與管控本身的風險:

  1. 風險評估:企業應找專業單位協助評估自身資安體質,評估項目包括:
    • 技術漏洞測試 ー 僱請專家以駭客角色入侵公司系統,找出系統弱點。
    • 資安文化調查 ー 評量員工在使用電腦、網路方面是否有良好的意識與習慣。
  2. 減少損失:當發生資安事件的時候,可能會發生系統當機,無法運作與服務,每分每秒流逝,企業的損失都在擴大。因此,平常就要做好規劃與聯繫,確定在資安事件發生的時候,由哪些專家組成緊急應變小組,進行最快速的處理,並由公正機構執行蒐證鑑定(釐清責任,為日後請求賠償作準備)。甚至在平時進行模擬演練。
  3. 學習精進:並不是每次資安事件都會損失重大,企業中常常發生影響輕微的小型事件。如果從這些事件中,能發現系統存在的漏洞、人員的疏忽,可以從中學習改進,強化日後的資安水準。可惜,依本公司與英國經濟學人資訊中心(EIU)合作的調查,許多公司認為這仍有待加強。

【精準評估與轉移】

企業可以減少資安事件的風險以及損失,但無論如何,也難以絕對地避免發生。因此,許多企業會以保險方式轉移資安風險。當企業以少量的保費,得以避免天價的高額損失,就有更高的資安風險的承受力。

然而,企業應該買什麼樣的資安保險方案、繳付多少保費呢?

在過去,資安保單的定訂,常是以同業方式比價:「我的同業買多少?我可不可以比他更便宜一些?」這樣的方式,對企業並不公平適當。畢竟,每個產業、每個公司的客觀性質不同,比照彼此的保費,無異是拿蘋果比橘子。

針對這樣的問題,韋萊韜悅透過蒐集了20 年以上的全球資料,透過精算模型將風險量化,打造資安風險評估系統:Cyber Quantified。

透過此系統,只要知道客戶的產業屬性、全球各主要市場營運比重、曝險資料的數量與性質…等參數,就可以計算風險的分配模式。藉此,我們可以為各別客戶量身打造最適合其需求的保險方案。

【緊急有效幫手】

購買資安保險方案,不僅是為了損失的理賠,更是為了其專業的顧問服務 舉例而言,某香港旅行社的系統被駭客鎖住,要求贖金。這家旅行社是我們的客戶,於是立即與我們聯繫。基於長期專業經驗,我們在第一時間協助分析情勢,決定不付贖金,並找到當地優異的資安團隊,為系統解鎖。我們也推薦一流的鑑識專家,確認資料是否有被盜取,並且也找了專業的公關團隊,幫助該企業進行危機控管、對大眾進行合適的公開說明。

這一套流程之中,每一個環節都是經驗、知識的積累。要快速地組合可信的人組成應變團隊,並且在緊急之中有效地跨專業對話協作,這是一般企業極難獨立完成的,這也就是我們與合作夥伴可迅速妥善協助之處。

欲了解更多網路風險,請下載網路風險手冊

欲進一步了解資安風險管理與應對策略,歡迎聯繫韋萊韜悅風險管理顧問:
Bright Wu 吳明璋 +886 2 8726 2880

Contact Us
Related content tags, list of links 觀點分享 網路風險管理 台灣