【资安周报第72期】企业营运十大威胁出炉，前三大都得靠IT

过去两周，全球因为勒索蠕虫WannaCry（想哭）的威胁，不仅让许多遭到勒索蠕虫威胁的企业想哭，许多IT部门和资安部门人员，更是日以继夜的不停加班，就是为了尽快修补微软于今年三月，就已经对外公布的MS17-010关于SMB通讯埠的漏洞。

对于许多企业的公司营运而言，这些突如其来的资安威胁，便如同是遭到网络攻击一般，严重的威胁甚至可以造成企业无法顺利营运，例如，想哭勒索蠕虫一旦绑架企业的ERP系统，加密所有的营运资料，一旦企业没有做好万全的营运资料备份，面对公司如何继续营运，或者是支付等同300美元的比特币以换取解密金钥，两相衡量情况下，孰轻孰重便已一目了然。

企业被勒索蠕虫绑架的感觉，就像是遭受到突如其来的网络攻击一样的束手无策。但实际上，企业遭遇到的这类资安威胁，所感受到的恐惧与不安，已经是现在相当普遍的现象。

根据英国营运持续协会（Business Continuity Institute，BCI）连续第六年定期公布的地平线扫描报告（Horizo​​n Scan Survey），企业遭受到的前十大威胁（Threats）中的前三名，已经连续三年排名和内容不变，且前十名的威胁也和世界经济论坛（WEF）揭露的威胁内容相仿，尤其是网络攻击和无预警的资讯与通讯中断，已经成为企业持续营运时，所面临的共通威胁之一。

台湾BSI总经理蒲树盛建议，该份报告揭露的内容，不论是威胁、冲击或者是趋势，都是台湾企业可以作为风险评估选项的参考内容，一般而言，每个项目的前三名都应该是百分之百都该重视的项目，如果企业拥有的资源更多，可以涵盖的风险范围越广的话，就可以透过八二法则，参照该优先级作为企业风险评估的优先项目。

企业面对资安风险，仍可参照八二法则做排序

资安专家李伦铨分析这次WannaCry灾情时曾表示，上次蠕虫登上报纸头版已是十多年前的疾风蠕虫（Blaster），但十多年后，当想哭勒索蠕虫再度登上头版，他说：“即使经历十年的生聚教训，面对不一样的资安威胁时，对企业而言，结果仍旧是同样的束手无策。”

蒲树盛则表示，有许多企业导入资安、个资或是企业营运持续的相关验证时，都会开始鉴别企业所面临的营运威胁和冲击是什么？但就他观察，其实许多台湾企业因为产业型态和规模大小不一，在鉴别威胁和冲击的项目上，并不完整，蒲树盛说：“有些时候就是因为鉴别的威胁项目不够完整，反而容易造成无预警的风险甚至是服务中断。”

他认为，透过营运持续协会归纳出来的十大威胁和十大冲击，就是企业在做风险评鉴时，可以直接纳入评估的项目。而这份地平线扫描报告的调查也显示，全球每3间受访企业中，就有2间企业将该份报告的威胁、冲击和趋势，作为企业风险评估的项目之一；也有21％的企业愿意提高企业持续营运的相关预算；此外，也有63％的受访企业是直接采用ISO 22301作为企业营运持续的指导原则。

若以该份报告最重要的三大分类来看，包括威胁（Threats）、冲击（Disruptions）和趋势（Trends），蒲树盛指出，威胁是指发生概率最高的项目，排名最前面表示该威胁发生的概率越高；至于冲击则是从损害的角度来看，排名越高表示造成的后果越严重；但不论是风险或者是冲击的发生，往往都是因为“趋势”造成的，换句话说，趋势的改变往往就会带来风险的改变，“所以关注趋势，就是关注未来的风险是什么。”蒲树盛说。

有七成企业过去一年曾遭到无预警的资讯与通讯中断

该份报告的前十大威胁中，蒲树盛表示，前三名威胁，依序是：网络攻击、资料外泄和无预警的资讯与通讯中断等项目，已经连续三年排名没有任何变动，也就是说，对企业的持续营运而言，造成企业无法持续营运的原因就是上述三个项目；其中，网络攻击的项目则包括常见的网络钓鱼、恶意程式以及DDoS（分散式阻断式攻击）等。英国则有将近九成（88％）的企业非常忧心或忧心企业会遭到网络攻击，造成企业无法持续营运。

资料外泄则是以机敏资料的遗失或遭窃为主，全球有81％的企业非常忧心或忧心企业资料一旦外泄，公司可能就会面临无法营运的风险，非常忧心的企业比例甚至将近过半（47％）。

蒲树盛也特别提及，忧心供应链中断的威胁近几年都一直在前十大的排行榜中，以发生概率的威胁而言，34％的受访企业表示，供应链损耗已经造成一百万欧元的累计损失，更有一成的企业（9％）表示，曾经遭遇过单一的事件并造成企业一百万欧元的供应链损失。

至于无预警的资讯与通讯中断不仅是最常发生的前三大威胁之一，更是对企业造成无法持续营运排名第一名的冲击。蒲树盛指出，现在的企业高度依赖各种IT系统提供服务，不仅发生的概率高，一旦发生后，对企业带来的冲击更是难以想像，甚至可能直接造成企业无法继续营运。根据该份报告也显示，有超过七成（72％）的英国企业在过去一年中，曾经遭到无预警的资讯与通讯中断，而也有将近四成（38％）极度担心这个威胁的发生。

不过，网络攻击原本是排名第一名的威胁，冲击排名第四名，但从该份报告中也可以发现，有过半（54％）的全球企业非常担心遭到恶意程式或者是DDoS攻击等网络攻击，但是只有35％的企业，曾经在过去一年遭遇到这样的网络攻击。实际上而言，网络攻击实际发生的比例，其实低于忧心发生的比例。

“掌握趋势就是掌握未来的风险，”蒲树盛表示，从该份报告发现，有八成的受访企业认为，使用互联网进行恶意攻击会对企业带来长期的威胁和不确定性，也是影响企业未来发展趋势排名第一名的项目。

也有53％的受访企业认为，如果没有做好社群媒体的管理，包括：商誉管理、错误消息和危机处理等，将可能影响企业的营运发展，若以近期全联爆发一连串的新闻事件来看，一旦未能妥善处理，就是企业的公关危机，也会立即影响到企业的持续营运状态。他也指出，50％的受访企业认为，流失重要员工将严重影响企业未来的持续营运，这也是台湾高科技业者的痛处之一。

蒲树盛表示，不论是前十大的威胁、冲击或者是趋势，都是台湾企业在做风险评估时，非常适合的风险评估项目之一，透过八二法则的掌握，资源较少的企业可以直接专注在前三项的选项，资源较多的企业可以进一步扩及关注的范围，让企​​业可以比较有弹性的去掌握可以掌握的风险项目。

他强调，所有的威胁、冲击或趋势，都不是一夕之间就会消失的项目，每一个存在都有其意义，都经历过六年的持续验证，如果可以善用相关的内容，对于企业在进行各种风险评鉴，都可以带来正面效益。