作者簡介

作者林信忠目前服務於凌群電腦股份有限公司，擔任資訊安全顧問的角色。主要工作包含資訊安全/資訊服務/個資保護專案的規劃與執行、資訊安全產品前端銷售、ISO /IEC 27001認證輔導、弱點檢測、滲透測試等事項。擁有CISSP、CSSLP、ECSAv9、CCSK、ISO 27001/20000 LAC、TCSE等認證。

前言

2020年，因新冠病毒的爆發與諸多名人猝逝等因素不可否認著實是令人難忘與憂傷的一年。就經濟層面來說，餐飲、航空、娛樂等服務業遭受重創，全球科技支出也因疫情的影響支出減少了8%(約3000億美元)，似乎一切的一切都讓人開心不起來。但根據Gartner的IT支出預測某些領域的產值反而創下新高紀錄，比方來說因疫情大流行必須遠距辦公，讓企業採購了雲端應用服務，企業主也開始認真思考如何維持企業營運不中斷等，這些都會增加某些IT領域的獲利;而資訊安全市場也迎來顛覆性變革機遇，加上法規法令推波助瀾(如隱私保護法案、資通安全管理法、個人資料保護法等) ，資訊安全相關領域需求正增長最為強勁的“剛需市場”。未來數年，資訊安全將在雲端運算、物聯網、大數據、人工智慧、關鍵基礎設施、數位化轉型，從合規驅動走向業務與競爭力驅動。資訊安全將銳變成核心競爭力之一，企業應當成為資訊安全企業。

資訊安全事件回顧

一、隱私和安全問題成為企業隱憂

隱私是2020資訊安全的關鍵話題之一，如國內可預見的個人資料保護法修法，美國《加州隱私保護法案》，英國的《兒童隱私保護產品準則》等都意味著全球進入隱私立法的高峰期，各國的隱私法規正在經歷從無到有，或是從有到精準監管的轉變。從對岸小米生態鏈企業洩露數百萬美國使用者隱私資料、泰國最大電信業者AIS數千萬用戶即時網路瀏覽資料外洩、以色列選舉系統漏洞導致選民資料外洩等資安新聞可嗅出未來歐盟、美國等台灣資訊產品出口大宗地區國家對產品或流程的資安/個資保護的要求將會更嚴格，而這些要求卻可能是台灣出口企業的短板。

二、勒索軟體成企業重大威脅

2020年，網路犯罪正在經歷“工業化革命”，犯罪組織呈現“敏捷化”、“公司化”、“品牌化”趨勢。從鴻海、仁寶疑中勒索病毒，Garmin“癱瘓”到本田停產，勒索軟體技術與勒索方式（資料洩露+加密勒索）不斷進化，變得更加複雜和難以防範，且因其有橫向移動的特性，可導致企業業務運作全面停擺。根據世界經濟論壇《2020年全球風險報告》，2019網路犯罪總收入約為1.28兆美元，約是鴻海集團年收入的7.5倍。2020年勒索軟體病毒的發展具備多平台感染、產業化、針對性攻擊等特徵。

三、從以控制為中心演變到以人為中心

人一直是重要的資訊資產與最大的安全弱點。一般情況下組織多數員工的工作與資安無直接相關，他們不了解自己的一些無意行為會對安全產生巨大影響，也覺得複雜的資安政策很難遵守。2020 3月份RSAC2020資訊安全大會的主題——“人的因素”，為年度資訊安全的發展重點定下基調。隨著疫情的全球蔓延，員工的安全意識培訓須從可有可無的可選項變成“必須”。根據GoSecurity公司2020年全球企業安全調查報告，安全意識培訓被認為是最有效的資訊安全措施。而根據Tessian的報告，33%的企業資訊安全或者資料安全事件與員工錯誤有關。華爾街日報2020年的調查則顯示70%的企業管理者擔心內部人員威脅。2020年，“人的因素”依然是資訊安全最大隱患。

四、漏洞之年

常見漏洞與揭露資料庫（CVE）列出 11,000個常用系統或軟體存在可以被攻擊的弱點，截至 2019 年中，有34% 的弱點仍然沒有修補程式可以使用。
根據Skybox統計，今年上半年業界就提交9000個安全性漏洞，全年漏洞數量有望創下新高（突破兩萬），其中Android漏洞數量同比增長50%。漏洞數量激增與新冠疫情期間大規模遠距辦公/教學，致大量家庭設備接入網路有關。弱點的激增也對企業/組織之BYOD管理、資訊安全存取控制、身分識別、端點安全和資料保護帶來了新的挑戰。

五、開發安全和DevSecOps正上路中

DevSecOps 指將安全融入敏捷架構的模式。其概念是要讓軟體開發生命週期當中的所有成員共同承擔責任，而不是只將安全視為每次發佈軟體之間用於填補漏洞的手段。要做到這一點，就必須加強開發人員、測試人員、安全團隊以及作業部門之間的溝通，而這些活動若沒有高階主管的鼎力支持，安全開發運營（DevSecOps）將永遠是虛應故事。2020年，從視訊會議、智慧硬體到社交通訊等領域一系列與開發安全相關的“大型安全事故”表明產品安全問題是一個“整體問題”。如何將安全能力變成企業的核心能力?主要取決於決策者對安全團隊和安全開發管理體系建設之支援程度強弱。

六、消費物聯網安全監管升級

中國大陸5月份曾發生“特斯拉汽車大量失聯，車主被鎖車內……”的新聞。對於威脅消費者生命安全的連網與自動駕駛汽車，未來全球各國可能於交通運輸工具有關法律(條)中增列資訊安全要求，要求智能汽車於上市前進行資訊安全風險評估。2020年隨著遠距辦公/教學的興盛，特別是如家用無線路由器、遊戲主機、智慧家電和攝像鏡頭等安全性較薄弱的智慧家居產品，皆有成為駭客攻擊和法規監管的重點趨勢。隨著美國加州和俄勒岡州物聯網法規1月生效，針對物聯網設備製造商、電信運營商和供應鏈的安全監管升級，這一趨勢會透過eBay、亞馬遜等零售平台輻射到全球產業鏈。

七、大選的網路戰爭

網路已是近年選舉的兵家必爭之地，相信許多人對去年國內總統大選前的印象還記憶猶新。根據2020 3月份美國RSAC資訊安全大會專家們的觀點，美國總統大選面臨的網路威脅攻擊面，從選民註冊系統、選舉網站、投票機、資料庫到社群媒體，都暴露在各種攻擊風險。包括勒索軟體、社交工程、媒體資訊濫用、郵件攻擊、針對性攻擊、大規模阻斷式服務DDoS攻擊、人工智慧深度偽造等攻擊手法，無怪乎美國現任總統川普寄望翻盤大選的理由之一是搖擺州許多投給川普的票投票機卻灌給了拜登…..雖然目前為止並沒有什麼具體直接的證據。

八、工控物聯網安全，市政、醫療、製造行業成重災區

2020年工控物聯網安全威脅和攻擊持續增長的主要原因是工控攻擊技術的工具化。近年來針對工控系統的入侵和攻擊工具呈現快速增長趨勢，使得針對OT網路和工控系統（ICS）的攻擊門檻大幅下降。2020年，安全防護能力較弱的市政、醫療、製造行業成為網路攻擊的重災區，而新冠疫情期間對醫療機構的攻擊更是危害巨大，如台灣健保VPN網路與數十家醫療院所曾遭受勒索病毒攻擊。根據CyberMDX的研究，基於許多原因，多數醫院不會修補超過40%的易受攻擊設備。因為缺乏安全開發的知識和培訓，以及相關的產品資訊安全測試程式等原因80%的醫療設備製造商和醫療機構表示設備非常難以保護。

九、資安人才需求孔急
〈2020 State of the CIO〉的研究報告揭露有 40% 的 IT 主管認為資安職務最難填滿，而國內公單位亦存在千人以上的人力缺口，加上資訊安全法令法規的要求與落實等現實環境，因挾帶著高專業與高需求的優勢，不難想像資訊安全人才在企業/組織中會顯得供不應求。

結論

本文希望藉由對2020年資訊安全事件的分析和梳理，有助於甲方企業主/高階主管了解本身的安全威脅與弱點俾便更真實的了解所處風險並正確的配置資源，也幫乙方老闆們把握未來資訊安全市場的機遇。

參考資料

1.https://www.nist.gov/blogs/cybersecurity-insights/cybersecurity-insights-blog-year-review-2020
2.https://www.cio.com.tw/2020-cyber-security-truth-data-and-statistics/
3.https://www.brighttalk.com/webcast/18324/455392/cybersecurity-2021-predictions-a-review-of-2020
4.https://www.nccst.nat.gov.tw/NewsRSS?lang=zh&RSSType=news
5.https://new.qq.com/omn/20200729/20200729A09KWR00.html?pc