近年來,企業資訊安全的重心已由防範外部攻擊,逐漸轉向應對內部風險。傳統如防火牆與邊界管控等防護機制雖仍具基礎性作用,但面對員工離職後帳號未即時停權、權限授予過度、帳密共用,以及內部人員於組織內部橫向調動等情境,傳統機制往往難以即時偵測異常行為並啟動有效應變。此類風險深植於企業日常營運流程中,不僅技術解方有限,更涉及跨部門協作與組織治理機制的成熟度。
美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)於2020年發布的SP 800-207「零信任架構」(Zero Trust Architecture),成為全球資安治理重要參考框架。其核心理念為「永不信任,持續驗證」,主張所有使用者、設備與應用皆應在最小權限原則下運作,並需接受持續性驗證、監控與授權管理,以建構動態、防禦縱深的資安環境。
根據美國電信業者Verizon於2024年5月發布的「資料外洩調查報告」(Data Breach Investigations Report, DBIR)指出,醫療產業高達70%的資料外洩事件與內部人員有關,遠高於製造業的27%與零售業的4%。在醫療機構中,資料外洩主因包括:雜項錯誤(如誤發電子郵件)、權限濫用與系統入侵,三者合計占比高達83%。這些數據顯示,內部濫用與權限管理缺失已成為高風險產業中的常態問題,企業必須將其納入核心治理架構中,提升防範能力。
台灣自2022年以來接連爆發多起重大個資外洩事件,揭露政府與民間機構在資訊治理與內控機制方面的系統性不足。2022年10月,駭客於BreachForums論壇兜售2,300萬筆戶役政資料,涉及敏感個資如身分證號與戶籍資訊。儘管內政部初期否認資料來自官方系統,法院最終仍認定該資料出自舊有檔案。2023年,健保署員工長期竊取健保資料並外洩至中國,影響全台人民,且波及政府高層與情治人員,顯示資安疏漏已觸及國安層面。2025年,輔仁大學附設醫院亦因內部人員濫權與使用Ngrok工具導致上萬筆病歷資料外洩,調查更揭示帳號管理鬆散、人資通報延遲、法務未參與等治理斷鏈問題。
面對此類風險,企業需導入UEBA(使用者與實體行為分析)、EDR(端點偵測與回應)與XDR(延伸式偵測與回應)等行為導向資安工具。這些工具可藉由模式分析辨識異常活動,結合集中日誌與自動告警機制,有效提升威脅感知與處置效率,即便資料尚未外洩,也能透過「行為異常」實現風險預警與前導防護。
然而,資安技術並非萬靈丹。若缺乏制度與流程支持,即便偵測出異常行為,也難以轉化為及時行動。例如,許多企業資訊部門並無權限單獨停用帳號,加上人資通知延遲、法務缺席應變流程,常使技術偵測與治理成效間產生落差。有效的資安治理,須仰賴制度化、常態化的跨部門協作架構,方能在風險發生時迅速動員各職能單位進行應變。
對於中小企業而言,資源限制雖是一大挑戰,但現今市場已普遍提供多種SaaS(軟體即服務)型資安工具與MSSP(資安管理服務供應商)委外監控解決方案,在控制成本的前提下,針對高風險節點實施精準防護,建構起基礎但實用的防禦能力。
有鑑於此,本文提出「啄木鳥式治理」作為資安文化之隱喻。啄木鳥不會等到樹木腐朽傾倒後才開始覓食,而是在木中隱約傳來蟲害聲響時,即刻啄擊處理。企業亦應如此,從日常行為中發掘異常徵兆,透過制度化機制即時回應,防範災害於未然。資安治理的目標,不應止於事後追責,而應落實於事前防範與行為監控。
資安並非單一部門的責任,而應視為企業整體治理體系的重要一環。唯有「制度」、「技術」與「文化」三者相輔並行,企業方能實現「內建式資安」,在高度數位化且風險高度連動的環境下,維持永續且穩健的營運能力。 (相關報導: 別懷疑!美國最常見密碼就是「它」,資安專家吐槽:年輕世代和老人一樣偷懶 | 更多文章 )
*作者為大專院校兼任教師(法律與資安領域)
