資誠聯合會計師事務所於2021年10月12日發布《全球數位信任洞察報告》（Global  Digital Trust Insights 2022）。本調查受訪者為全球3,600位企業高階主管及科技專家，調查發現，大多數的企業無法因應第三方資安風險，因為這些風險往往被複雜的商業生態系和供應商網絡所掩蓋。

主要發現

1. 60%的受訪者對第三方資訊洩露風險的了解程度不夠透徹，而20%的受訪者對這些風險知之甚少或根本不了解。
2. 60%的受訪者預計2022年網路犯罪事件將增加。
3. 56%的受訪者預期，透過其軟體供應商的違規行為會增加，但只有34%的受訪者正式評估其企業正面臨這種風險。
4. 58%的受訪者預期其雲端服務受到的攻擊將大幅增加，但只有37%的受訪者透過正式評估來了解雲端風險。

資誠智能風險管理諮詢公司執行董事張晉瑞表示，即使企業自身的資安防禦良好，企業也可能容易受到攻擊。老練的駭客會搜尋企業資安最薄弱的環節，有時就是透過企業的供應商。企業必須正視第三方資安風險的議題，然而，在本調查中，只有不到一半的受訪者表示，他們對複雜的商業生態系統構成的新威脅做出回應。

當受訪者被問及其企業如何將第三方風險降至最低時，最常見的答案是確信或驗證其供應商的合規性(46%)、與第三方共享資訊或以其他方式協助第三方改善資安現況 (42%)，以及因應與成本或時間相關的網路韌性挑戰(40%)。 但大多數人沒有完善他們的第三方標準 (58%)，沒有重寫合約 (60%)，也沒有提高他們盡職調查的嚴謹性以識別第三方的威脅(62%)。

簡化營運流程  可強化網路安全

近四分之三的受訪者表示，他們的組織太複雜，可能導致網路和隱私風險升高。在所有不必要和可避免的複雜領域中，排名最高的是資訊治理（77%）和資訊基礎設施（77%）。

簡化是一個挑戰，但有充分的證據表明它是值得的。十分之三的受訪者說，他們的組織已經在過去兩年中進行簡化，在本調查中「進步最快」（在資安排名前10％）的企業，更會在整個企業進行流程簡化。這些排名前10％的組織也更可能實行正式的數據信任的做法，也更瞭解第三方的網路和隱私風險。

CEO的參與  可以產生影響

企業高階主管和CEO受訪者對於CEO在資安方面提供的支持程度存在認知上的差異，CEO認為自己比其團隊更加參與、支持以及實現資安目標。不過，企業高階主管和 CEO受訪者都同意，CEO積極參與製定和實現資安目標，的確會產生正面的影響。大多數高階主管認為，應對CEO和董事會進行教育，使他們能夠更履行資安職責，以實現 2030 年更安全的數位社會。

張晉瑞指出，最先進的組織把資安視為不僅是防禦和控制，而是成就永續經營並與客戶建立信任的一種方式。CEO作為企業的領導者，應該定下基調，讓資安團隊專注於更大的、與成長相關的目標，而不是狹隘的短期期望。

張晉瑞表示，供應鏈的資安管理不僅是企業關注的議題，也是主管機關的監理重點，金管會於2020年8月推動的「金融資安行動方案」中，增訂了供應鏈風險管理規範，納入核心資訊系統供應商或跨機構資訊服務之風險評估及查核等管理機制。張晉瑞強調，合作夥伴的風險也是企業本身的風險，企業必須瞭解及管理合作夥伴及廠商生態系的風險，深化資安治理，以迎接新世代的挑戰。

 

資料來源：PwC
圖片來源：Rodion Kutsaev

---

延伸閱讀：
SDGs的缺角：數位科技為人類和地球服務SDG18
戳破低碳神話，數位科技是巨大環境污染源