資訊安全管理觀念與心態

1：永續性

沒有任何國家或企業能免於網路攻擊。應對安全問題是日常必須，需要持續警惕和準備以減少風險。必須實施可持續的控制。

2：做對基本工作

根據美國眾議院對 Equifax 違規事件的報告 (超過 1.4 億個個人信息被泄露)，掌握基本的網路安全實踐可以防止重大的安全事件。此外，廣泛報導超過99％的雲端網路安全事件都是由於配置錯誤造成的。

3：建立有意義的安全關鍵績效指標

在安全方面，沒有單一的解決辦法，因此組織建立防禦層，有時稱為深度防禦。 關鍵績效指標應設計為捕捉和測量每一層控制的預期有效性。 例如，許多組織報告有關在邊緣阻擋的垃圾郵件或釣魚郵件的數字，防火牆非軍事區阻擋的被感知的互聯網掃描。儘管這些數字可能令人印象深刻，通常在每月數百萬以上，但對安全幾乎沒有價值。我將其稱為“用來對付坦克的步槍”。 這是一個例子： 一個有意義的關鍵績效指標是展示病毒越過第一道防線，被第二道防線檢測並發出警報。這有助於改進第一道防線。

4：專注於關鍵績效指標例外管理

在建立穩健和有意義的安全關鍵績效指標後，每個關鍵績效指標項目必須有一個合理的目標。然後，安全組織可以專注於監控和管理未達到確定目標的關鍵績效指標項目。

5：數據保護必須關注普通員工

大多數數據泄漏事件來自“無惡意意圖”的員工，要麼是出於無知，要麼是為了尋找捷徑。組織的實際影響和損失可能與由犯罪駭客造成的相同。

6：熟悉風險評估，補救成本，知道風險補救措施優先順序

資安主管必須掌握這些技能。安全是由風險發現推動的，有限的資源下，應將緩解成本納入風險補救優先順序。重要的是要注意，不是所有風險都需要完全補救; 有時可以接受風險。您有勇氣向首席執行官傳達這一點嗎？

過去十年來，我有幸參加了許多資安大會，每一場都讓我受益良多。在這段時間裡，我身份的轉變也讓我有機會從不同的角度去觀察資安產業的發展。從最初作為參展廠商，到後來成為甲方客戶的一份子，再到現在身處資安部門，這些經歷讓我深刻體會到資安產業的蓬勃發展。同時，我也有幸認識了許多在這個領域裡的優秀夥伴，我相信這些寶貴的經驗將對未來的資安發展有莫大的幫助。

過去十年資安大會，Cellopoint 有幸躬逢其盛，也見證資安產業的蓬勃發展，我分享 Cellopoint 一路走來的寶貴歷程：

1.值得鼓舞的成就 : 透過大會 Asia Cyber Channel Summit 媒合，促成 Cellopoint 拓展海外通路與新興市場。

2.讓國際權威機構 Gartner 分析師驚豔，疫情期間，介紹 Cellopoint 參與了亞太區最具規模的實體資訊安全展。

3.網路攻擊千變萬化，十年如一日，Cellopoint 唯一不變的是專注於 email security，矢志成為電子郵件安全領域的領導者。

4.以 CelloAI 對抗 Gen-AI 所產生的郵件攻擊：

從十年前的勒索病毒郵件、APT 目標式攻擊郵件、社交工程釣魚郵件、BEC 變臉詐騙郵件、到近期肆虐的 QRcode 釣魚郵件，以及運用生成式 Gen-AI 所產生的 Phishing attacks，Cellopoint 皆不斷華麗轉身，快速應變。

5.資安大會給予我們全局的視角，以及開拓了我們的眼界，指引明確方向，包括資安供應商、CIO/CISO、IT 管理人員、即將踏入資安產業的新鮮人、以及培育資安人才的大專院校等。

再次感謝主辦單位精心規劃大會活動，iThome 全體同仁的堅持，讓我們收穫滿滿，最後，恭祝本屆資安大會圓滿成功 !

資安十年之我見

在「資安就是國安」的政策宣示下，這十年來對資安的意識與防護水準都有顯著進展。其中令人欣喜的成果：

1.資安法的施行，讓資安正式法制化：資安法對政府機關、財團法人及關鍵基礎設施等資安防護要求，有具體成效；同時辦理資安法業務需求，亦需增加各單位人員編制及待遇。整體而言均有相當大的助益。

2.一定規模的金融機構及上市公司要求設置資安長、成立資安專責單位：讓資安長制度可以在民間企業萌芽，使公司高層重視資安，可以爭取更多的資源投入到資安工作上。資安部門的成立，讓企業可聘用更多資安專業人員，充實資安人力。

3.八大關鍵設施資安聯防體系的成立，提供領域內相互技援。讓各機關不再單兵作戰，可以用團隊的方式與駭客對抗。

尚待努力之處：

1.企業資安仍有待加強：由於資安法範圍並未納管企業，企業受駭客攻擊的風險日增，惟企業對資安的意識及資安資源的投入尚待加強。

2.國內資安產業企待轉型：國內資安產業仍以引進或代理國外資安產品為主，自行開發的資安解決方案或產品仍少，易為國內資安產業的發展的瓶頸。

3.資安仍屬勞力密集的產業及工作：如何導入自動化及 AI 的模式，協助低階資安工作人力的轉移，提升生產力，刻不容緩。

未來的期望：

1.公私協力合作：資安不是一個人的武林，需要產官學研公會等單位的合作與努力，才能打造國家資安防護的長城。

2.資安要超前部署：資安部署永遠要走在駭客的前面，才能免於受駭客挨打；同時要膽大心細、隨時保持高度警戒，才能永保安康。只有資安作得好，大家才能沒煩惱。

3.資安人才培育要多面向化：人才培育除了資安専業領域外，仍要熟稔網路、作業系統、應用程式、資料庫等相關資訊課程。

2014 年發現了第一個針對企業的比特幣勒索軟體攻擊，事實上，在過去的十年裡，勒索軟體已成為最大的網路犯罪類型。直到今日，勒索軟體威脅依舊不減，而背後的網路犯罪集團卻一直有新血加入，讓這場戰爭看不到盡頭。未來十年的勒索軟體會是什麼樣子？我們又該如何因應？

面對一堆標新立異、快速在市面上流行的 buzzword（流行語），困惑著我們，因為得讓自己的專業可以跟得上變化，才有能力判斷這個 buzz words 裡面有多少是真的？還是 hype（炒作）？

強大的 AI 可以用於造福人類，也可能被用作武器。關於 AI 安全問題，目前沒有萬全的應對之策。除了擔憂，我也在思考，資安人對此還能做什麼？

口口聲聲喊資安很重要，但實際上，資安卻是「做起來次要、忙起來不要」的現場窘境。但當有越來越多法遵對資安有要求時，可以觀察，資安是否會因法遵要求而有所翻轉。

面對資安事件的發生，不是if假設性的問題，而是 when 時間早晚的問題。企業面對瞬息萬變中的不變，最好的回應就是，提高資安防禦和應變能力，但現實是，企業資安投資經常因缺乏直接回報和成本考量而有所遲疑時，如何突破現實壁壘，是需要高層和資安人員轉換心態面對的議題。

舊經驗很快不適用，但新典範的建立卻缺乏前例可循，只能期望專業人員的價值能被重視再重視，降低外行領導內行帶來的企業營運風險。

過去十年來，我有幸參加了許多資安大會，每一場都讓我受益良多。在這段時間裡，我身份的轉變也讓我有機會從不同的角度去觀察資安產業的發展。從最初作為參展廠商，到後來成為甲方客戶的一份子，再到現在身處資安部門，這些經歷讓我深刻體會到資安產業的蓬勃發展。同時，我也有幸認識了許多在這個領域裡的優秀夥伴，我相信這些寶貴的經驗將對未來的資安發展有莫大的幫助。

謝謝主辦單位每一次的用心規劃，從各項研討會安排，廠商位置規劃，報到程序跟贈品也都看得出用心盡力，期待下一個十年能繼續相見！

過去幾年，資安事件發生頻率和損失都持續攀升，主要原因包括：高度數位化發展帶來新的資安風險、地緣政治影響加劇資訊戰的發生、疫情爆發推動大規模遠距辦公讓防守邊界變得更加模糊、生成式 AI 的快速發展讓影音詐騙越趨擬真等…，資訊安全面臨了前所未有的挑戰，資訊安全議題也已成為學校、企業、政府及國家必須要面對的顯學。

現今各企業都積極的推動數位轉型，因為高度的數位化，不論在經營模式、商品規劃與服務面項上，均面臨非常大的創新挑戰。

另外加上新興科技的發展，包括雲端、大數據、區塊鏈、 API 及 AI 等，也已經高度的運用在企業的活動當中，因此企業的資安策略思維，除了要持續築高牆強化防護之外，更要在持續提高監控、高度管理供應鏈安全、強化各種演練、以及提升應變處理能力等，強化企業面對各種資安風險的韌性，確保企業在面對資安事件時，可以快速因應與復原。

駭客攻擊手法勢必會持續翻新，甚至變得越來越專業和隱蔽，目前看起來各類攻擊事件也是不減反增。

因此，無論是企業還是個人都要提高意識，公私部門更該攜手聯防，建立全社會從消費金流到生活理財一個安全、穩健、可持續的資訊環境，保護資料和交易環境安全。

10 年前的我是一個警察，當時主要工作任務是「依法維持公共秩序，保護社會安全，防止一切危害，促進人民福利」，這也是警察的使命，當然，也包含了保護人民生命財產的安全。

在 5 年前，宴請轉換公司的老長官，在杯觥交錯中，突然被問及：「有興趣轉換跑道嗎？金融資安」，當時發生許多駭客盜取個資、入侵金融機構、勒索攻擊等事件，尤其金融更是駭客最想攻占的產業，因為錢就在電腦𥚃，內心盤算，這是一個危險且具有高度挑戰性的工作，必須 7*24 小時面對來自四面八方的攻擊，可以勝任嗎？

轉換跑道 5 年了，保護好客戶的資產，是金融資安的核心任務之一，秉持警察緊急事件應變能力，以「早期預警、應變制變」策略，提升資安應變能力、及精進事件分析技能，才能面對一波又一波不曾間斷的攻擊，守護客戶的安全。

未來，在數位轉型、金融科技、普惠金融的帶動下，以及如未能有更好的防治駭客之道，金融資安將面臨更嚴峻的挑戰，「十年磨一劍」，利劍可以拿出來了嗎？或是要再磨下一個十年呢？

首先，正名及思維改變。傳統資安場域因為以資訊相關的考量為主，是故安全的考量大都以商業的正常營運為主，所以在資料上，著重文字及數字資料型態的保護、實體網路及設備的防護。

但隨著各種載具及場域的出現，需要防護的範疇已經跨域及跨國並涵蓋生活場域，所以其資料更是”跨態”。除了文字、數字，更包含了圖形及影音等不同型態的資料，如果仍沿用”資安”兩字，多數人會認為那是”資訊單位”要負責的事。

但若以''場域''安全二字來考量，其所涵蓋的應與”人身及財產”的安全，或許以”數位安全”來取代”資訊安全”更為貼切，而且要由資訊單位所需負責的”資安思維”，轉變為全民都需有的”數位安全思維”。

其次，策略改變。若以”人身及財產”來考量，那數位安全就需評估風險及保險兩項策略：

一、數位安全風險評估及管理：可以分為風險識別、風險分析和評估、風險處理以及監控和複審等階段，而實施可參考國際標準如 ISO/IEC 27001 和 NIST 框架來建立與管理風險。

二、數位安全保險：是一種管理網路和資訊安全風險的策略，目的在減輕安全事件（如數據洩露、網路攻擊等）的財務影響。企業組織或個人可評估和建立數位安全保險需求、選擇合適的保險產品及建立保險策略。

數位安全保險可能是一種風險轉移工具，但它並不能替代安全防護措施，而可將其視為一個損失賠付補償工具。通過評估、選擇合適的保險產品，並建立有效的保險策略應可以較好地應對數位安全風險。

不要期許老闆懂資安，因為他們懂的是我們不懂的，資安 = 責任，沒有 100 分的安全，只有 101 分的責任！