從上市櫃重訊看資安對內控制度革新

近期資安重大訊息數量大增，台灣儼然已進入無煙硝的網路攻防時代，企業持續更新與強化內部控制制度的資訊治理已是當務之急。依2024年9月修訂「上市上櫃公司資通安全管控指引」，鼓勵上市上櫃企業導入與驗證ISO 27001標準、評估通過美國註冊會計師協會（AICPA）SOC 2之Type 2合規報告等策略來強化企業內控與資訊治理。

　證交所與櫃買中心早在2021年8月公告更新上市（櫃）公司重大訊息之查證暨公開處理程序，將資通安全事件納入重訊發布的條件。2024年5月及7月，針對何謂資通安全事件之重大訊息於問答集中更新說明，資安重訊發布的條件：「…公司之資通系統、官方網站或內部文件檔案資料等，遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊（DDoS）等，致無法營運或正常提供服務，或有個資、內部文件檔案資料外洩之虞等情事等」。

　基於重大訊息發布資安事件條件之變更，勤業眾信分析近三年的所有重大訊息內容，透過數位工具抓取臺灣證券交易所的公開資訊觀測站在統計區間內全部上市、上櫃、興櫃公司的重大訊息，得出三項分析結果：一、近三年重大訊息揭露的資安事件共計112件，屬於網路攻擊的資安事件占最大宗42％，但由於重大訊息或相關報導中並未揭露更多的資訊了解其產生之原因，以致無法進行更細緻的分析，但可確定是外部駭客攻擊所致。而資料侵害事件（疑似個資外洩、勒索軟體—資料加密、勒索軟體—資料外洩、疑似資料外洩等）合計達36％，顯示企業需在內部控制制度革新，強化對資料保護已是當務之急。

　二、從2024年5月證交所修改重大訊息發布條件，首次將DDoS分散式服務阻斷攻擊納入後，2024年9至10月因親俄駭客團體NoName057 對台灣發動大規模DDoS攻擊，疑似DDoS攻擊比例在急遽上升，佔整體資安事件的10％。

　三、以發生資安事件重大訊息的時間軸來看，2024年資安事件重大訊息數量已超過2022年與2023年兩年的總合，且資安事件數量從2023年11月時就已開始上升，在2024年3月及5月證交所擴大重大訊息發布條件後更顯著呈現上升趨勢；綜合近三年的資安事件重訊統計，每年資安事件的成長率皆翻倍式成長，其可能原因包含（1）上市櫃公司對於揭露資安重大訊息的意願上升；（2）整體上市櫃遭受攻擊的比率增加。

　以上分析是從2022年1月1日至2024年11月30日 共1,064天、2,216家上市／上櫃／興櫃公司、219,860筆重訊資料分析結果。

　統計分析台灣上市櫃公司所發布的資安重大訊息，總結還觀察到幾個現象：一、2024年到11月底重大訊息揭露的資安事件達72件，已超過2022、2023兩年共40件的總合。二、在2024年9、10月親俄駭客團體NoName057對台灣發動大規模DDoS攻擊造成資安事件有顯著的上升。三、資料外洩的越見頻繁，已有實際案例因而造成訂單被取消。四、資安重大訊息的發布僅有事件的受害方被要求發布資安重大訊息，但產品或系統的供應商卻未有發布重大訊息之義務，2024年7月CrowdStrike大規模藍白畫面事件造成全球眾多企業系統停擺就是一例。

　企業又該如何面對資安威脅呢？建議企業可進行內部控制制度的健康檢查，診斷問題並持續改善，納入永續與數位韌性的設計，使內部控制制度能與時俱進，以因應新時代的挑戰。