【名家觀點】企業應對網路安全教戰
2021-7-2 台灣食品暨製藥機械工業同業公會2021-07-01 23:54經濟日報 陳世杰/眾達國際法律事務所所長
日前KPMG針對全球年營收超過5億美元的企業CEO進行調查,發現「網路風險」(Cybersecurity)議題已成為亞太區CEO最關心的前兩大議題。其中,勒索軟體的威脅對全球及台灣企業而言,已經不是媒體報導的新聞事件,而是日常營運中將面臨的實際狀況。甚至,資安業者與研究機構分析指出,中小企業或提供專業服務的事務所,也可能是勒索軟體的攻擊對象。
根據趨勢科技的推算,台灣平均每天發生五起企業遭勒索事件,其中二成為導致業務或生產停擺的重大損害事件,因為高額贖金易引人鋌而走險,以及COVID-19疫情使企業選擇採用居家上班的雲端辦公形態,將使勒索軟體及其他網路攻擊事件持續擴大,資訊安全的維護及強化已經刻不容緩。
依媒體報導,網路駭客或勒索軟體通常使用不明電子郵件中夾帶惡意軟體的網路釣魚方式,或是利用員工在家以遠端桌面連線至公司電腦的安全漏洞,入侵資料企業資訊系統,並在取得資料存取權後,將資料加密阻止企業的正常營運或威脅將機密資訊出售,藉以勒索企業支付贖金換取解密金鑰,這些攻擊可能造成企業營運中斷、資料遺失等風險。
面對這些觸犯我國刑法妨害電腦使用罪及恐嚇取財罪的犯罪及侵權行為,受害企業雖然可以提出刑事告訴及民事賠償訴訟,法務部也宣示「資安就是國安」,會循司法互助管道聯繫外國司法機關,提供協助以打擊駭客入侵的跨國犯罪,但網路攻擊者多源自境外,又不易查明其身分,因此執法單位不易透過司法程序嚇阻同類事件的發生。
因此企業必須建立一套面對攻擊事件的因應措施,事前及事中採取有效作為,才能有效將傷害降到最低。事前應加強人員的資安教育訓練、系統偵測、防火牆的設置、重要資料系統的備份等,甚至可以考慮投保資安險。根據財團法人保險事業發展中心的保險商品資料庫,國內已有數十種資安險,然而報導指出,2020年台灣的資安與個資險的繳納保費僅新台幣1.1億元,遠不及美國八成上市櫃公司都有投保資安險。
事件發生時應向外部資安及專業法律團隊尋求協助及諮詢,包括找出系統漏洞及影響範圍、資料是否可復原、如何向主管機關通報及發布重大訊息、評估是否支付贖金以及後續可能引發的法律風險等危機處理。以企業在評估是否支付贖金時,也瞭解相關的法律風險,其中至少包含違約(例如遭駭的資料來自於客戶)風險、遭有關國家調查是否觸犯洗錢防制及打擊資恐法規的風險及所投保的資安保單理賠與否等。
依筆者觀察,2021年不可忽視的重大「網路安全」相關法律議題將包括:COVID-19疫情所導致網路犯罪(Cyber Crime)及勒索軟體攻擊的增加、支付或協助支付勒索軟體贖金而潛在違反洗錢或其他法律規範的風險、品牌商對供應鏈的資訊安全管理及雲端服務提供者及其客戶間資訊安全責任的定位及分配等。面對肆虐全球的駭客及勒索軟體威脅,企業除了加強網路安全的適當防護外,預先認識及適當因應上述法律風險及責任,才能在網路安全上長治久安。
(本文只代表作者個人觀點,不代表事務所立場)
