【投書/ 蕭國振】台灣企業資安：駭客烈焰中的易燃柴薪

中華超傳媒

(圖/ Bits And Splits／Shutterstock)

2025年，輔仁大學附設醫院爆發嚴重內部資安事件。一位周姓治療師盜用同事帳號，於公務電腦擅自安裝ngrok代理伺服器及RaiDrive雲端掛載程式，開啟未經授權、無密碼的遠端連線通道。內部稽核及資安團隊雖未發現病患個資外洩證據，但警方與資安專家警示，此行為等同於為駭客開啟後門，反映機構資安管控機制嚴重不足，網路環境易被入侵。涉事治療師已被解僱，院方則全面加強帳號權限管理、限制外部連線及強化防火牆與異常監控。

這類事件在台灣企業並非偶發，而是資安治理結構性脆弱的典型表現。APT攻擊、勒索病毒、供應鏈滲透及雲端漏洞等威脅日益複雜，仍多數企業停留於最低合規標準，只在事後進行補救。且企業中普遍存在「非目標即無風險」的錯誤認知，忽略攻擊日益自動化和以漏洞為導向的趨勢，缺乏有效的異常偵測、權限管理以及通報系統，容易成為駭客入侵及橫向滲透的跳板。若高層持續輕忽這些制度性防禦不足和缺乏實務演練，未來資安災難將難以避免。

MGBOX

資安長有職無權、有名無實

根據2024年《CISO Insight資安調查報告》，台灣上市櫃公司中，只有約18～23%的企業配置具有決策權的資安長。大多數企業仍將資安視為資訊部門的附屬單位，缺乏高層次的治理支持。許多所謂的資安負責人僅名義上存在，缺乏專業背景與實質權限，使得資安管理形式化，缺乏有效的防禦措施與實戰演練。

這種制度虛位問題，源自於企業對資安治理的認識偏誤及職責安排不當。部分企業將資安長職責委由資深資訊主管或兼任資訊主管人員負責，未能充分強化其治理、風險管理與跨部門協調的能力。而多數此類職務的職權侷限於技術層面，無法直接參與董事會或風險管理委員會，亦難介入營運、法務合規和策略決策，導致其角色難以真正發揮風險預警和資安治理整合的功能。

此外，該職務常缺乏必要的經費與人力支援，資安預算經常被壓縮，即便負責人察覺重大風險，仍缺乏足夠的執行力與資源。儘管2025年《資通安全管理法》要求特定非公務機關設置專任資安人員，但尚未明確規範該職位的具體職權、任用資格及績效評估，導致外包治理普遍存在，有的組織甚至在稽核前夕才臨時指派人員應付。至於非關鍵產業部門，仍採取勸導方式，缺乏強制性稽核與事件揭露機制，法規落實仍有待提升。

再者，中小企業、醫療與教育機構多以資歷長短作為聘任標準，導致資安負責人缺乏對現代資安技術的理解與運用，例如滲透測試、威脅情報分析、雲端防禦、零信任架構及APT攻擊手法等。國際組織Cloud Security Alliance 2023年指出，全球僅約3成的資安主管同時具備治理與法規遵循的雙重能力，暴露出專業斷層與培訓不足的全球性問題。

這種「有職無權、有編無人、有名無實」的治理缺陷，嚴重限制了企業在風險應對上的成效。當資安負責人無法全面主導事件通報、供應鏈稽核及災難復原演練，其職務如同消防隊長卻無水無車，只能事後聲明，無能力預防或減災。

總結而言，僅以符合法規要求的形式設置資安主管，卻缺乏實質決策權與資源支援，將使資安在企業戰略中逐漸被邊緣化。面對日益複雜的網路威脅，企業極易陷入缺乏防禦和反應的治理真空，承擔更高的資安風險和損失。

美容儀器Sonispa 水光肌美顏儀嘖嘖募資中

(圖/ Gorodenkoff／Shutterstock)

從外包廠商延燒的連鎖風險

2025年，日本朝日啤酒集團遭受勒索軟體攻擊，駭客成功植入供應商提供的軟體模組，導致多家工廠停產，生產線癱瘓，營運受重創，且機密資料疑似外洩，成為供應鏈資安風險的經典案例。

此次事件並非直接針對企業核心系統發動，而是利用第三方技術防線的漏洞滲透，反映台灣產業在供應鏈安全上的相似隱憂。金融、醫療及製造業普遍把開發、維護及客服工作等外包，卻缺少完善的監管與稽核機制，連基礎的權限控管和存取紀錄追蹤也常不到位。

根據台灣資安聯盟調查，超過7成中小企業未將資安條款納入供應商合約，且多依賴既有的信任與合作關係，宛如交付鑰匙給清潔公司，卻無法追蹤其去向或設置警示機制，事件發生後責任難以釐清。駭客得以通過未加密的模組或偽裝成合法更新軟體，悄無聲息地取得內部權限並長時間潛伏與橫向滲透。

企業對供應鏈的風險認識不足，誤信外包即可轉嫁風險，但依據《資通安全管理法》，資安事故的通報與法律責任仍由委託方負責。除了金融業受監理機關嚴格要求推動供應鏈風險評估外，醫療、製造、教育等領域仍未納入強制範疇，且多數企業缺乏第三方驗證、安全保障及異常行為監控，事故後難以界定風險起點與責任歸屬，導致災損迅速蔓延。輔仁大學附設醫院的事例即顯示無法識別未授權的遠端連線及雲端存取，內部管控幾乎形同虛設。

因此，建立健全的供應鏈資安治理，已成為確保企業營運連續性及風險控管的必要基礎。政府應推動第三方資安驗證制度，要求供應商通過滲透測試、攻防演練以及資訊揭露；企業也須將資安條款列入外包契約核心，明確界定責任與通報機制。唯有如此，才能有效阻止風險從邊緣廠商蔓延，保障營運穩定、提升產業信任並鞏固國家資安防線。

(圖/ DC Studio／Shutterstock)

資安的投資報酬率迷思

在多數台灣企業的預算會議中，資安支出常被質疑其「投資報酬率（ROI）」所在，這種觀念根植於企業文化與財務結構，將資安視為成本而非必要的風險管理投資。

資安本質類似保險與消防，重點不在於創造盈餘，而是預防致命損失與維持企業韌性。然而，多數組織僅在事故發生後才進行補救，因此預算配置往往落後於風險演進。2025年的全支付資安事件即有網路消息指出，該公司在遭受攻擊前似乎已有暗網洩密跡象，但或許由於缺乏快速反應機制，未能及時處理，事後雖加強防禦與通報，損害卻無法逆轉。更嚴重的是，許多企業常因預算過高而削減防禦系統升級費用，成為災難的種子。這反映高層過於依賴短期財務指標評估，忽略風險成本本質，即風險發生機率與衝擊的乘積。

此外，政府在推動資安投資的激勵措施尚處於發展階段，缺乏完善的稅務抵減、資安保險補助等長期且制度化的支持方案。這使得整體企業資安支出偏低且投入分布不均。雖然《資通安全管理法》對配置資安專責人員及建立資安事件通報機制定下要求，但對於資安預算的編列及資安治理的品質標準尚未形成全盤且明確的規範。因此，許多企業仍僅以符合法規的最低門檻為目標，缺少涵蓋持續性演練、紅隊攻防測試、供應鏈安全評估等高水準、防禦力強的資安投入，造成資安風險難以有效控制。

在國際資本市場中，企業資安治理已成為信用評等的關鍵指標。穆迪（Moody's）與標準普爾（S&P）等機構將資安長設置狀況、資安事件通報及資訊揭露納入評價模型。然而，目前台灣企業整體在資安透明度、財務揭露與ESG報告的整合仍不充分。多數企業未能完整地將資安治理資訊納入年度財報或ESG報告項目，致使外部投資者在評估企業風險及信任時缺乏關鍵參考依據，對於資安投資如何影響資本流動的認知仍相對不足。