首圖圖說：封面＿資安確保的基礎招式

數位轉型 v.s. 資安確保的基礎招式

余俊賢 – IT幫幫忙資安顧問

社創組織多為微小單位，長期面臨MIS不足，加上數位轉型前後面臨的資安挑戰多樣，因此本文整理數位轉型下資安基本應對及常見案例分析，冀望提供已經進行或即將數位轉型與優化之產業作為參考，以確保數位轉型戰果，資安趨吉避凶。在數位轉型的規劃及執行通常需要軟體與人員能力的搭配，增加數位、資訊架構、軟體、數位應用等，包含雲端、遠端辦公、廠區連網等形態上的轉變，在此改變之下，增加了外部接觸面。

包含：遠端辦公的環境是透過網際網路連線、公司資料勢必會在公司外的環境中儲存以及廠區OT數位環境優化，原本在封閉的廠區，但是因為數位化、智慧化之後，要跟其他IT系統介接連線，加上外部環境變化，如法規、關稅問題、進出口供應鏈等。都會直接或間接影響的數位資訊環境與資安的目標跟佈局。

在此，提供幾個資安確保的基礎招式：

💡建立資安基礎好習慣

資料安全：

從資安政策面要求，對於敏感資料，如個資、營業秘密等，在收集、儲存、處理均有對應政策要求，例如：僅收集業務所需的資料，儲存資料時能夠做到加密至好，有哪些資料會出現在公開環境需要透過定期盤點與巡邏以確保不會有意外狀況。在寄送或傳遞有敏感資訊時，最好可以做到加密，再把解密的方法透過不同管道傳遞，像是密碼另外提供，避免寄送失誤時造成資料的人為因素外洩。

資料安全對應的數位轉型佈局規劃：

在確保資料安全的目標上，對應的數位資訊環境及架構就會有對應的項目，如能夠做到資料進出的記錄、過濾（例如防止資料外洩的方案），如果有供應鏈的系統要在網際網路上進行連線，最好可以做到點對點的加密保護。而資料安全的存取，會基於數位身份的查驗，因此，建置一個有效的身分驗證機制是必要的，如果可以加上多因素驗證，除了帳號密碼外，再加上OTP單次驗證碼等會是目前最好的確保方案。在資料落地儲存時針對敏感資料可以做到資料、檔案、資料庫的加密乃是最好，避免其他防禦偵測機制失效。

數位體質強韌度關鍵🧬

講到加密，目前很常見被加密勒索，是許多企業主深切之痛。勒索軟體跟我們所謂的駭客、病毒木馬等其實進來的管道及方法並無太大的差異，因此，最重要的還是在數位體質上的強化。

哪些是面對勒索軟體威脅時，應該具備的數位體質強韌度關鍵？

具韌性的數位環境。可以免疫、低入侵成功機率、快速復原。其他的先不說，首要是有效的備份機制，包含系統跟資料。最好有一份是離線，避免備份資料也被加密。備份機制是強韌度的最後一道防線。

至於免疫、低入侵成功機率，目前有相關的方案，如零信任架構、白名單機制，從端點、網路、資料層面、應用程式，僅允許正面表列，理論上，就可以對未知的威脅達到一定比例的免疫，再者，人員的資安意識乃是另一道最脆弱的鏈子，有些入侵案例，也沒有什麼高深的技術，而是攻擊人員的大腦決定，利用社交工程的手法，用詐騙的手段及話術，騙取信任進而取得帳密、權限、甚至是轉帳，有一種叫做商業郵件詐騙(BEC)的手法，便是此例。

也可能結合其他駭客技術，誘騙使用者開啟郵件、連結、開啟惡意檔案、輸入資料等方式，而獲得數位資訊環境的控制權。 然而，前述的防禦跟偵測機制，可以擋下或偵測到一定的比例，剩下防不到的就要依賴人員的大腦防火牆，也就是資安意識來避免。

定期做大腦習慣更新🧠

人員的安全意識，遂著企業在數位轉型後，也需要做更新。外面的詐騙手法、駭客攻擊方式隨著時間改變演進，企業也應該對員工跟供應鏈提供社交演練、教育訓練、補充新的手法跟案例。

是定期做大腦更新的必要投入，人是資安的最後一道也是最脆弱的防線。在數位轉型後，許多新的應用會需要員工使用操作，因此，要在新人訓練、常態性的教育訓練中包含資安的安全意識，方可守住這最後一道防線。

數位轉型下軟體供應鏈的資安確保🔄

對於數位轉型的供應商及供應鏈除了在合約、保險上的要求外，以下是幾個要注意的項目，例如委外遠端維護的作業程序，遠端維護等同在網內操作，若無隔離與監控，常常會是另一個不定時炸彈，還有新設備入廠驗證機制、網路活動記錄監控、跳板機記錄操做螢幕錄影、使用第三方元件、服務的安全等，都是在數位轉型下，擴及供應鏈時需要注意的資安確保要項。

數位轉型的資安設計與檢驗🛠️

數位轉型會伴隨軟體及系統的發展，可以參考以下資安設計、檢測，導入安全開發生命週期，從設計源頭做起。

圖說、數位轉型下的安全開發生命週期（資料來源：作者整理）

總結以上對於數位轉型下資安確保的基礎招式，可以從以下的防禦架構來窺視一二，從資安的預防、監控、應變、訓練等方面，其下有對應的資安確保作為，可依照數位轉型的範圍、時程對應規劃出相關的資安確保項目，從源頭就把資安確保變成數位轉型的DNA，融入數位轉型的劇本中，以確保經濟發展的戰果。

圖、資安防禦架構圖（資料來源：作者整理）

📬下期預告：不可不知的 數位轉型 v.s. 資安法規與個資議題

                           --資安法規、個資議題在數位轉型下的注意事項

                           --如何以最小資源達成：零信任框架

另後續也將出刊：「AI應用規劃的資安議題」、「實踐資安零信任的工具箱」敬請期待

關於IT幫幫忙

社創組織面臨業務推動上，受限小微企業需較多人工業務處理，即使規劃導入數位服務仍受限於沒有ICT相關背景與能力，面對數位轉型工具箱或雲市集軟體服務採購等資源，也可能不清楚工作流程適合應用那些資訊系統。歡迎加入「社會創新平台-IT幫幫忙」官方帳號，透過IT需求的諮詢銜接與建議，協助大家提供從軟硬體到網路資安的建議，充分運用數位科技加速擴大社會影響力。