微軟今(11)日發布亞太資安研究報告,其中指出,台灣在2017年因資安攻擊事件造成的經濟成本損失,高達8,100億新台幣。以台灣2017年GDP總值5,715億美元來看,該數字相當於台灣GDP總值的5%。不過對企業而言,若想有效降低該數字,關鍵很簡單:員工對釣魚信件的反應。
資安事件造成的「直接損失」僅是冰山一角
微軟和IT分析市調顧問公司Frost&Sillivan合作發布亞太資安研究報告,以問卷調查1,300名來自台灣、澳洲、中國、香港、新加坡、日本、韓國等13個亞太市場的企業資安決策者,其中,有超過70%皆任職於員工數超過500人的大型組織,產業涵蓋製造、金融、政府、健康、零售、教育等領域。
報告發現,若以過去一整年來看,台灣因資安攻擊事件造成的經濟成本損失,高達8,100億新台幣,相當於台灣GDP總值的5%。
「網路資安事件帶來的直接損失雖然最顯而易見,卻只是冰山一角,」微軟亞洲首席安全長Michael Montoya指出,「實際的經濟損失往往被低估。」
以台灣大型組織來說,因資安事件所造成的經濟損失,每年平均損失1,760萬美元,而因資安事件有關的生產力損失、罰金、補償費用等直接損失,平均金額為380萬美元,但其他如因損及名聲而導致顧客流失的間接損失,以及資安事件對整體生態系造成衝擊的延伸損失,兩者總和高達1,380萬美元,幾乎是直接損失的4倍。
六成台灣企業員工會點開釣魚信連結
進一步看駭客如何滲透企業,很大一部分來自釣魚攻擊。報告指出,在台灣,有六成的人曾收到來自攻擊者的惡意郵件,其中又有六成的人會開啟惡意內容,包含附件或惡意網址,且一旦電腦被滲透,往往要三個月才會發現電腦遭入侵。
根據微軟防止網路釣魚及惡意軟體過濾機制SmartScreen所搜集的數據,在「網頁掛馬攻擊」(Drive-by Downloads) ,也就是在email信件中夾帶惡意網址、藉此感染收信人電腦,台灣在去年的得分為6.4,意即每10人即有6.4人會點開惡意連結,儘管相較於去年的7.4些微下降,但卻是連續三年居全球之冠,而第二名的伊朗分數僅1.6,落差相當大。微軟全球商務支援中心資訊安全暨風險管理協理林宏嘉解釋,台灣數位普及度高,但資安意識未等比提升,才有此結果。
林宏嘉表示,這類釣魚信件會按照使用者過去的數位足跡或行為模式來調整信件內容,藉此降低收信者戒心。至於如何防範?雖然是老生常談,但他提醒,除了注意網址是否可信賴網域,最根本的是注意發信者是否是可信任來源。
另一方面,林宏嘉指出,駭客也在轉型,根據微軟統計,過去五個月的台灣資安攻擊,有97%的攻擊來源不重複,且45%來自非已知的惡意攻擊來源,因此難以用防毒方式常用的「黑、白名單」阻擋。對此微軟提醒,可將AI和自動化工具用於資安防禦措施,找出可疑攻擊行為,才能化主動為被動。
文/張庭瑜
本文、圖授權轉載自數位時代(原標題:駭客攻擊一年損失達8100億元,微軟提點企業:釣魚信件別亂點)
責任編輯/趙元