2019年,曾拜訪營收超千億台幣的科技大廠的資安長,見面才知道他是資訊處協理兼資安最高主管,下面設有一個單位「Information Security Planning」,該單位主管則是一位部經理。
當天會談的一個結論,是這位協理非常淸楚知道,公司必須要有專責的資安長而且應該是副總位階,他自己不Qualified,希望我能夠直接拜訪董事會,說服增加人力編制及薪資預算。
另外一個要求,是協助他檢視公司的資安保險(cyber insurance)保障涵蓋範圍,這其實應該是風險長(CRO)的職責,但也是由他負責處理。
其實在台灣這是非常普遍的現象,雖然金管會在2021年9月修法,強制金融機關設立資安長,要求指派副總經理以上或職責相當之人「兼任」資訊安全長,卻出現金融機構設有資安長,但沒有資安團隊的現象,這是因為資安預算並沒有增加。
我之前曾說過合宜的IT預算與所屬產業、企業規模及網路就緒目標級別息息相關:
首先就特定產業而言,依據〈IBM Cost of a Data Breach Report 2021〉[1]指出醫療、金融、製藥、科技、能源、服務業及工業,數據外洩平均成本為前七名,且高於不分產業的平均值。
另根據〈Hiscox Cyber Readiness Report 2020〉[2]指出,依照損失中位數(Median losses)排名,能源、製造、金融是前三大產業,接下來是所謂TMT行業,指的是通訊(Telecom)、媒體(Media)、科技(Technology)三種產業。
雖然台灣皆不在這二份報告的調查範圍內,但仍值得董事會參考,我的建議是台灣的醫療、金融、通訊、科技及製造業應該比其他行業編列更高的資安預算。
接下來就規模來討論,不同的調查有不同的規模分類,就營收而言依據〈Coalition Cyber Insurance Claim Report H1 2020〉[3]針對北美地區25,000家企業,營收介於1億~2.5億美元的企業得到平均最高的理賠金額;若依照員工人數,介於250~1,000人的企業啓動資安保險比率高達6%。
另外根據〈Hiscox Cyber Readiness Report 2020〉指出員工人數超過1,000人的企業處理資安事件的平均成本是504,000美元,約是員工人數250~999人的企業的四倍(如圖一)。
與規模較小的公司相比,員工較多的公司更有可能成為被攻擊目標,員工超過1,000名的公司有51%發生過至少一次的網路事件,同時較大公司也有能力更早發現受到網路攻擊。
此外不論是社交工程或釣魚(Phishing)甚至是商業郵件詐騙(Business Email Compromise, BEC)員工人數愈多也愈容易受攻擊並且上當受騙。
回到台灣企業本身,員工超過千人的企業也應該有較高的資安預算。
最後一個思考方向是企業追求的「網路就緒」目標級別。
依據「網路就緒模型(Cyber Readiness Model)」(如圖二),若二個軸線得分皆4分以上(滿分5分),歸屬專家級(Expert),若是僅有一個軸線4分以上則屬於中間者(Intermediate),二軸都未達4分則是新手級(Novice)。
依據〈Hiscox Cyber Readiness Report 2020〉發現:
專家級公司網路安全支出平均增加39%。
19%的專家級公司擁有50人以上的資安團隊,但總體受訪公司只佔11%。
員工1,000人以上的企業,29%擁有這樣規模的網路安全團隊,換句話說企業規模越大的公司越有可能成為專家級的公司。
專家級公司去年平均在資安支出達420萬美元,而新手級企業僅130萬美元。
所有企業平均資安支出從150萬美元增加到210萬美元,增加幅度達39%。
而資安預算佔IT總預算也從9.9%增加到12.9%,增加幅度達30%。
那麼這些大幅増加的資安預算用於何處?
人力不足增加更多資安人力是基本必須的,50人以上的資安團隊可能是成為專家級公司的基本門檻, 調查發現預算增加的二大重點分別是專業知識(Buy expertise)及教育訓練(Invest in training),而且不論是專業知識或教育訓練,皆必須仰賴第三方顧問的協助,例如專精隱私政策與跨越不同司法管轄領域法遵專家、資安治理專家、對外溝通專家、網路安全保險專家,關鍵是必須由董事會階層(Board level)本身開始作起,例如2020年美國全國企業董監事協會(National Association of Corporate Directors, NACD)針對資安治理提出了五大原則,分別如下:
應將網路安全定位為戰略性企業風險而不僅僅是IT風險。
應了解與公司特定情況相關的網路風險之法令規定與含義。
擁有足夠的網絡安全專業知識並在董事會議程中定期且充分的討論風險管理。
董事應期望管理階層應建立網路風險管理框架具有足夠之人員配置和預算。
管理層對網路風險的討論應包括對網路風險的「識別和量化」(Identification and Quantification),以及接受、減輕或轉移哪些風險?(例如藉由特定級別的保險安排)
其中原則四的要求即是「董事應期望管理階層應建立網路風險管理框架具有足夠之人員配置和預算。」
各位董事會成員,如果您的企業是金融、醫療、製造或TMT產業,同時員工人數超過千人(圖三),那麼請不要吝於編列更高的資安預算,更不要低於同業的資安預算水平,資安預算應佔IT預算更高比例,廣義的資安預算不僅僅是IT與技術的投入,同理資安事件也不是資安長一人可以承擔的重責大任,面對日益嚴峻的資安威脅,企業不僅需要各部門緊密合作,同時要在平時積極引進外部 風險諮詢顧問,建立密切夥伴關係,定期提供各項檢視服務,一方面可以降低發生資安風險之機率,同時萬一發生資安風險時也可大幅降低淨財務(Net financial loss)損失,儘早恢復正常運作與挽救企業聲譽。