根據 DCMS(英國數位文化媒體暨體育部)在 2020 年所公布的 網路安全侵害調查 顯示組織面臨的威脅日益嚴重。調查指出在過去 12 個月,將近半數的組織遇到至少一次的網路侵害或受到攻擊。但實情可能更糟。「你不知道自己所不知道的是什麼」。有些組織實際上非但沒有適當的系統與作業程序可用於辨識侵害,且對許多表現不佳的執行者而言,沒被發現就是成功;更令人憂心的是有三成組織表示他們至少一週發生一次網路安全的突發事件,而且這種現象在近幾年來更趨頻繁。
這些攻擊或侵害事件可能會對組織的聲譽造成重大衝擊,還可能發生資料遺失及財務損失,亦可能被罰款。這項調查指出這筆費用對中大型組織而言約為 5,000 英磅,但顯然可能這項成本的金額範圍巨大,且極難明確估算。
令人慶幸的是網路安全正日益受到重視,因此,相較於過去我們開始看到更多公司增僱人員以維護組織的網路安全:60% 的小型組織及 77% 的中型組織採此做法。此外,相較於以往已有 38% 的組織為因應網路安全而擬定相關政策;僅管比例仍不夠高。
標準如何有助於網路安全
英國早在超過 30 年以前即已展開網路安全相關的標準化作業。BSI 與我們的網路安全利害相關者持續在英國擔任先驅者,與其他 80 個國家及許多國際組織開發這些標準以促進網路安全持續不斷演進。網路安全標準化的核心為 ISO/IEC 27001,這是一套適用於各種規模組織以提供架構的管理系統標準。27001 系列涵蓋約 40 項標準,其為更深入規範如供應鏈網路安全或雲端運算等問題。
目前對如何管理不同產業的網路安全風險需求有日益增長的趨勢,包括產業如建築營造業,約在過去五年間已歷經大量的數位化轉型;另一方面則是嶄新的技術領域掀起全新的挑戰。僅管汽車產業已存在許久且 100 年來的變化不大,但由於連網自駕車的崛起,或是將電動車也廣義地納入其中,則汽車製造業者和其供應鏈在這一連串的全新挑戰上就需要更多協助。
隱私權是大家在談到網路安全時更加重視的層面,這主要是受到像是歐盟 GDPR 這類一般資料保護法立法/法規的影響,以及大眾對隱私重要性的意識不斷升高。大體來說,我們可將目前的隱私標準在建構或實施上分為為四大領域:
- 資料保護與隱私整體性
- 具體的資料保護,包括個人識別資訊(PII)
- 隱私技術
- 新領域
*以上內容摘要自我們的英文網路研討會「如何保護資料與資訊;現況與未來展望」
