【名家观点】企业应对网路安全教战
2021-7-2 台灣食品暨製藥機械工業同業公會2021-07-01 23:54经济日报陈世杰/众达国际法律事务所所长
日前KPMG针对全球年营收超过5亿美元的企业CEO进行调查,发现「网路风险」(Cybersecurity)议题已成为亚太区CEO最关心的前两大议题。其中,勒索软体的威胁对全球及台湾企业而言,已经不是媒体报导的新闻事件,而是日常营运中将面临的实际状况。甚至,资安业者与研究机构分析指出,中小企业或提供专业服务的事务所,也可能是勒索软体的攻击对象。
根据趋势科技的推算,台湾平均每天发生五起企业遭勒索事件,其中二成为导致业务或生产停摆的重大损害事件,因为高额赎金易引人铤而走险,以及COVID-19疫情使企业选择采用居家上班的云端办公形态,将使勒索软体及其他网路攻击事件持续扩大,资讯安全的维护及强化已经刻不容缓。
依媒体报导,网路骇客或勒索软体通常使用不明电子邮件中夹带恶意软体的网路钓鱼方式,或是利用员工在家以远端桌面连线至公司电脑的安全漏洞,入侵资料企业资讯系统,并在取得资料存取权后,将资料加密阻止企业的正常营运或威胁将机密资讯出售,借以勒索企业支付赎金换取解密金钥,这些攻击可能造成企业营运中断、资料遗失等风险。
面对这些触犯我国刑法妨害电脑使用罪及恐吓取财罪的犯罪及侵权行为,受害企业虽然可以提出刑事告诉及民事赔偿诉讼,法务部也宣示「资安就是国安」,会循司法互助管道联系外国司法机关,提供协助以打击骇客入侵的跨国犯罪,但网路攻击者多源自境外,又不易查明其身分,因此执法单位不易透过司法程序吓阻同类事件的发生。
因此企业必须建立一套面对攻击事件的因应措施,事前及事中采取有效作为,才能有效将伤害降到最低。事前应加强人员的资安教育训练、系统侦测、防火墙的设置、重要资料系统的备份等,甚至可以考虑投保资安险。根据财团法人保险事业发展中心的保险商品资料库,国内已有数十种资安险,然而报导指出,2020年台湾的资安与个资险的缴纳保费仅新台币1.1亿元,远不及美国八成上市柜公司都有投保资安险。
事件发生时应向外部资安及专业法律团队寻求协助及咨询,包括找出系统漏洞及影响范围、资料是否可复原、如何向主管机关通报及发布重大讯息、评估是否支付赎金以及后续可能引发的法律风险等危机处理。以企业在评估是否支付赎金时,也了解相关的法律风险,其中至少包含违约(例如遭骇的资料来自于客户)风险、遭有关国家调查是否触犯洗钱防制及打击资恐法规的风险及所投保的资安保单理赔与否等。
依笔者观察,2021年不可忽视的重大「网路安全」相关法律议题将包括:COVID-19疫情所导致网路犯罪(Cyber Crime)及勒索软体攻击的增加、支付或协助支付勒索软体赎金而潜在违反洗钱或其他法律规范的风险、品牌商对供应链的资讯安全管理及云端服务提供者及其客户间资讯安全责任的定位及分配等。面对肆虐全球的骇客及勒索软体威胁,企业除了加强网路安全的适当防护外,预先认识及适当因应上述法律风险及责任,才能在网路安全上长治久安。
(本文只代表作者个人观点,不代表事务所立场)