數位化推動公司成長之際,資安問題從「IT部門的單一防線」升級為「牽動整體營運韌性」的治理危機。Check Point Research調查顯示,台灣的組織包含企業每週平均受攻擊次數達3,993次,居於亞太地區之首。加上2025年證交所資安新制上路,上市櫃公司須完整揭露資安事故,市場信任與ESG評等壓力驟增。 美商達信觀察到,企業若缺乏通盤思維,不僅有法令遵循成本,還會面臨公司營運中斷及商譽損失,衝擊甚大。因此提出涵蓋事前曝險檢測、事中應變支援、事後風險轉嫁的整合式資安治理建議,協助企業將威脅轉化為韌性資產。
前陣子一則新聞震驚全台,駭客集團在暗網公開勒索4家台灣企業消息,最高金額達1.8億台幣!企業會頑強抵抗還是忍痛付錢?根據國際調查,全球企業過去一年支付的贖金已暴增5倍,近半數的企業最終選擇支付贖金,以求盡快恢復營運。
然而,支付贖金並非終點,可能是另一個危機的開始。企業即使支付贖金,也可能重複遭駭,面對外部環境攻擊不確定性,特別是中型以上及上市櫃公司,對於資安風險管理為何需要有全新思維及戰略?
資安治理為何不再是單一IT部門的責任?
數位轉型腳步加快,營運核心系統、客戶資料與第三方系統上雲已經是常態,同時供應鏈管理也趨於複雜,一旦資安出現「破口」,往往無法單靠IT部門就能力挽狂瀾。
美商達信保險經紀人(以下稱美商達信)資深副總經理曾南山表示,「許多公司認為資安風險僅是資訊部門責任,事實上資安事件發生時,要解決的不光是技術問題,當資安事故觸發營運中斷,企業還必須面對個資/客戶機密外洩賠償責任、法遵罰款、重訊公告、ESG資安揭露等壓力,不僅影響當季營收、淨利表現,對公司聲譽將造成負面衝擊。」
換言之,資安風險管理牽動公司整體資源配置、跨部門協調,早已超出單一個人或單位可處理的範疇,必須上升到董事會層級須嚴肅看待的議題。
美商達信副總經理楊瑩潔補充道,「2025年1月證交所翻新資安事件重大性標準,意謂事故發生後,上市櫃企業應完整發布事件重訊,連帶後續須面對行政檢查、提交調查報告、ESG揭露情事,凸顯資安事故不光造成營運斷鏈,更影響客戶/消費者的信任與市場信心。」
從損害填補到事前佈局:資安保險從「補償工具」進化為「治理資產」
面對無所不在的攻擊,資安保險是風險轉移的工具之一,幫助企業遭遇不可預期的攻擊事件時,有效降低相關衍生的衝擊。值得注意的是,台灣企業在2024年投保資安險僅2,868件,近年的投保率仍牛步前進,原因為何?
曾南山解釋,許多企業主仍把資安險視為一種「額外的花費」,而非「必要的投資」。資安保險不同於車險、火險等傳統保險,因潛在損失「難以量化」導致不易評估金額,讓許多企業難以評估投保效益。
然而,隨著資安風險意識提升,以及資安投保選擇的多元化,資安保險已從過去災後理賠的工具,進化成「事前曝險檢測、事中即時應變、事後風險轉嫁」的整合式方案。對此,美商達信建議企業應善用保險資源以「全方位解決方案」的思維來強化資安治理,將保險與公司既有的資安投資相互搭配來完善公司的資安風險管理。
三階段完善部署資安保險:風險識別、情境演練、災後處理
楊瑩潔分享,在事前預防階段,藉由保險資源提供的專業技術團隊或工具協助,識別企業的資安弱點及成熟度,提供類似健檢的資安風險調查報告。接著藉由「資安風險量化模型」量化潛在損失費用,並以同業基準(benchmark)作為評估風險移轉及投保決策的參考,讓資安預算做最有效及合理的分配。
另外建議搭配「資安事件模擬演練」,透過情境驅動的即時威脅演練各單位的應對及協同機制,全面檢視企業現有的資安事件應變計畫,是否具備足夠韌性與即時應對能力。
當資安事件發生時,企業必須在最短時間內應變。曾南山表示,「可將資安保險視為資安事件應變資源整合平台,預先整合數位鑑識、法律顧問、公關專家等外部專業團隊,確保在最緊急時刻,快速獲得最適合的專家支援。」
至於事後轉嫁財務損失,資安保險的承保範圍已日益成熟,範圍涵蓋第一人損失(如營業中斷、勒索贖金)、第三人責任(如個資外洩賠償)。加上市場經驗的持續累積,目前資安保險的投保條件與成本更為友善。然而,各保險公司資安保險條款啟動要件、承保範圍及除外事項不同,企業遭受損失的型態也各有差異,因此具體保險方案、出險理賠及損失計算仍須依個案實際狀況及保單條款處理。
有油門也需要煞車!資安險讓企業轉型更安心
這幾年企業積極投入數位轉型,猶如踩下油門加速營運創新成長,但如果高速奔馳的數位列車沒有一套「安全駕駛輔助」機制,任何資安事件都可能成為衝擊企業的黑天鵝事件。
因應地緣政治與供應鏈重組,楊瑩潔解釋,國際客戶與合作夥伴多已將資安韌性視為合作前提,甚至在合約中要求供應商提供資安保險證明與最低保障額度。對台灣高科技與外銷產業而言,這已成為能否獲得信任並維持競爭力的關鍵。
總而言之,資安已不再是IT部門的單一防線,而是攸關企業整體韌性、永續發展與市場信心的治理課題。美商達信建議決策者,資安保險應被視為整合性的風險管理戰略,不僅涵蓋事前風險量化與事中應變,更在事後提供財務保障。唯有將資安治理視為公司「一命共同體」的戰略工程,並將資安保險納入風險管理架構,企業方能在充滿變局的時代,保有韌性並掌握主動權。
更多關於資安風險管理與解決方案,請參考美商達信台灣官方網站:
