內部風險的現狀與挑戰
在數位轉型的時代,企業經常將目光放在來自外部的網路攻擊,往往忽略了內部人員所帶來的威脅。然而,研究顯示內部威脅的比例持續上升,我們不得不重新審視內部風險管理。
根據Ponemon Institute的《Cost Of Insider Risks Global Report 2023》報告。在過去五年內,每年發生21至47起內部威脅事件的企業比例,從2018年的53%增長至2023年的71%。換言之,約有七成企業曾遭遇內部人員所導致的資訊安全問題。
內部風險的成因主要可分三類:
- 55% 為因為員工的疏忽,比如誤傳郵件、錯誤分享檔案等。
- 25% 為內部人員的惡意行為,例如故意竊取資料謀取私利。
- 20% 為憑證遭盜用的內部威脅(Credential Theft),駭客透過釣魚攻擊、鍵盤側錄或其他手法竊取內部人員的帳號憑證,進而假冒合法身份進行不當存取。
另外,根據IBM《Cost of a Data Breach Report 2024》報告,企業平均需要292天來識別並遏制與內部人員有關的違規行為,而每起內部攻擊的平均成本高達499萬美元,為所有資安事故中成本最高的項目。
相較於外部駭客需經過漏洞掃描、權限提升與滲透過程來入侵系統,內部人員往往具備存取權限並知道哪些資料最有價值,因此內部威脅的影響更為直接,可能導致難以挽回的損失。此外,隨著法規的不斷趨嚴,企業若未能妥善管理內部風險,將面臨高額罰款與聲譽損失。
關鍵法規與標準
根據台灣 《個人資料保護法》。企業發生個資外洩事件時,若未依規定進行改善,罰鍰可達1,500萬元,並可按次處罰。對於曾發生個資外洩的企業來說,資料保護已經不是選擇,而是必要且值得的投資。
政府針對零售業制定了更嚴格的個資管理要求,例如《零售業個人資料檔案安全維護管理辦法》,要求資本額 1,000萬元以上,且有招募會員的業者,建立資料的存取控制、加密、備份、傳送的保護措施,並建立完善的個資安全維護計畫,衝擊約 6,800家企業。
最新的 ISO/IEC 27001:2022 版本進一步強調技術性安全控制措施,建議企業採用資料防外洩(DLP)、使用者行為監控、網頁過濾等技術,以強化內部資料存取管理,確保資訊安全防護機制符合國際標準。這顯示傳統的手動管理方式已不足以應對現代資安威脅,企業需導入自動化技術,以實現即時監控與快速應變。
內部風險防護策略
為了有效降低內部威脅風險,企業應結合管理流程與技術防護措施,建立全面的資訊安全防禦機制。以下介紹幾項關鍵的資料保護技術。
- 網路存取防護
透過網路微分割(Micro-segmentation)技術,首先將Server Farm中重要的伺服器納入防火牆進行隔離保護,接著再透過部署於終端的X-FORT Agent,根據使用者身分及應用程式特性,精準控管並決定其可訪問的伺服器範圍,達成更細緻的伺服器存取權限管理。 - 資料庫 (Database) 防護
- 唯讀模式:對於機敏系統資料,僅允許「唯讀」操作,禁止使用者複製、剪貼、列印,以防止未授權資料外流。
- 浮水印追蹤:於系統介面顯示浮水印與特殊編碼,若資料遭拍照或截圖外洩,可透過編碼追蹤來源,有效嚇阻不當行為。
- 檔案防護 (File Protection)
- 自動加密機制:透過自動化機制,定期掃描企業內部電腦並加密重要檔案,確保這些檔案僅能於公司配發電腦上開啟,即使檔案外洩也無法被讀取。
- 落地即加密:所有透過 Email、網站或 FTP 下載的檔案,在下載到公司電腦後即自動加密,確保資料即時受到保護。
- 權限控制:部門資料僅限部門主管、相關人員有權開啟,即使檔案被誤傳至其他部門,也無法讀取。
- 降低勒索軟體 (Ransomware) 攻擊可能性
- 應用程式白名單:僅允許已驗證的應用程式執行,阻擋未經授權的軟體運行,降低惡意軟體風險。
- 定期備份與資料夾防護:透過定期備份與FAC資料夾存取防護,可在發生資安事件(如勒索軟體攻擊)時,提升關鍵資料的可回復性,減輕對營運造成的干擾。
結論
內部風險管理並非僅為合規而實施的成本支出,而是一項能夠降低營運風險、保護企業聲譽、提升市場競爭力的綜效投資。企業應透過技術防護(DLP、EDR、加密機制)、權限管理(存取控制、唯讀模式)與資安意識培訓,建立完整的內部威脅防禦策略,以確保資訊安全與業務連續性。