CYBERSEC 2024臺灣資安年鑑

作者序

◎置身數位化全面普及的環境，無可避免會受到網路威脅的直接或間接影響，每個人該做的事情，是積極、持續認識這些資安風險與各種資安事故，正如同我們關心每天的氣象變化，並且及早進行各種必要的準備與預防措施，以便當下能夠充分因應各種可能發生的狀況。

然而，有備無患、未雨稠繆的概念雖然人盡皆知，甚至是基本常識，每天的新聞報導總不乏各種意外狀況發生，但離譜的是，許多知名的大型企業因應變故的能力仍有待提升，不免令人深思：科技使人類變得更強大嗎?恐怕真相是「使人類變得脆弱」。

今年3月初，社群網站龍頭Meta公司的Facebook、Instagram、Threads發生故障，約1個半小時恢復正常；幾個禮拜後，全球速食連鎖業者麥當勞發生大當機，十多個國家的App和餐廳點餐系統停擺，許多門市不論現場或是網路都無法接單，有些可改用紙本作業來記錄訂單，有些只收現金，甚至有直接打烊、當天停止營業的狀況。這類狀況並非今年特別多，以前也有一些令人印象深刻的例子，像是2022年4月，DevOps平臺業者Atlassian發生大當機，花了14天才復原。

若論及勒索軟體、DDoS、資料外洩等重大資安事故，更是層出不窮，駭客組織與國家網軍運用的滲透與攻擊手法五花八門，從粗製濫造到極端繁複都有可能。而這些資安威脅對於企業與組織運作造成的衝擊，也是形形色色，例如，早期早見的個人電腦中毒、硬碟損毀，之後出現網站首頁被竄改、網站服務停擺，到了近期，檔案遭到加密綁架、機敏資料與個資外洩、企業與個人身分遭冒用，更是司空見慣。

事實上，每個環節都可能遭滲透、所有管制都可能被突破，資安措施需要涵蓋全局。例如，事前預防雖然無法完全保障資安，但仍須盡力防患於未然，能在敵人侵入前就予以阻隔，可有效降低後續處理成本；至於事中察覺與事後復原能力的強化，是在APT威脅猖獗之後開始興起的資安戰略，目的是促使大家充分具備各種威脅的偵測與應變能力，建立第二條防線，但這樣與威脅貼身肉搏是更費時費力的，因此不能輕易放棄事前預防工作，如果這麼做，就沒有退路了。

面對詭譎多變的網路威脅態勢，資安的未來似乎難以令人樂觀其成，然而，生命總會找到出路，人類用幾千年的文明，突破了外在環境的限制，而得以安身立命，因此，今日我們雖然仍舊擔心各種氣候變化，卻不那麼害怕，因為大家都在不斷尋找適應與解決問題的方法，希望能通過大自然的考驗，而在因應人為活動的各種變化時，我們沒有悲觀的本錢，只能繼續拼搏，正如同臺灣與全球的命運緊密相連，資安也是如此，一榮俱榮，一損俱損。

◎國安會秘書長顧立雄：「資安即國安」戰略目標確立臺灣8年資安發展
中研院院士、前總統府國安會諮詢委員李德財：臺灣推動「資安即國安」領先世界各國，將資安拉高到國安層級
數位發展部數位產業署署長呂正華：修訂產創條例，推動「資安產業化」和「產業資安化」是主要任務目標
資通安全研究院院長何全德：資安產業具備輕資產、高價值特性，吸引年輕人投入創業
臺灣科技大學資管系特聘教授吳宗成：學校教育至少要培養資安人手，成為一個博派資安人
第一金控副總經理兼資安長劉培文：企業重視資安的文化，不能只靠資安事件來驅動
趨勢科技臺灣區總經理洪偉淦：法遵議題是驅動臺灣資安產業發展關鍵
奧義智慧創辦人兼執行長邱銘彰：從重視網路安全到企業安全，為資安創業提供有利條件
TeamT5杜浦數位安全創辦人兼執行長蔡松廷：用臺灣的人才、資金和產品，找出可複製的資安新創成功模式
臺灣駭客協會理事長、戴夫寇爾執行長翁浩正：社群發展除有意識傳承，更應提供舞臺並讓參與者有收穫
十年資安心裡話
資安大調查：2024企業資安新態勢
AI資安2024
透視AI帶來的7大風險
因應企業AI應用風險，建立治理框架
臺灣政府零信任戰略正式啟動，從驗證、採購出發，身分鑑別先行
雲端、自動化成資安SOC主流
全球首批SEMI E187標準設備出爐
臺灣通用資安人才類別框架定案
降低國家風險、每個人都是關鍵 !美國政府向全民推廣主動通報的重要性
以「預想被駭」強化資安偵測應變能力
提升自我察覺組態配置不當的能力，美國政府公布10種常見情況
建立備份聯防架構，確保副本不被竄改
2023臺灣上市櫃公司屢遭網攻，中小企業災情大增
臺灣上市櫃企業發布資安重大訊息背後的挑戰
台積電IT硬體供應商遭駭，公布事後檢討內容
FBI呼籲公私聯防對抗中國網攻
兩大中國駭客鎖定臺灣組織發動網攻
2023第三季零時差資安漏洞激增
實施五年首度大修法！主管機關啟動資安法修法程序
臺灣上市櫃企業資安重訊標準出爐
關鍵民生系統將支援跨境公雲，大幅提升大型災禍的應變韌性
回顧2023十大資安漏洞