iThome 自2018年起，每年針對臺灣的資安現況進行大規模問卷調查，以提供其真實的描述。於9月11日，iThome 公佈了其於 2022 年 7 月 1 日至 2022 年 7 月 29 日期間，所進行的 416 份有效線上問卷結果，其填答對象包括企業、政府機關和大學的 IT 和資安主管。(自 2018 年的調查迄今，已累積有效問卷共 1984 份)

 

在此份調查結果中，iThome 團隊提出以「遭駭指數」（Under Attack Index）做為衡量一個企業產業資訊整體的安全性指標。遭駭指數被用於估計一個企業一年內的遭駭天數，其計算方式是：(1) 資安事件的平均發生時間 x (2) 該年度企業的平均事件數量。其中 (1) 資安事件的平均發生時間為 (a) 企業遭駭的平威脅均發現時間 (b) 企業遭駭後的平均復原時間的總和。iThome 團隊認為，在此期間內，企業並不俱備對攻擊進行修補的能力，並暴露在攻擊的威脅之中；如同生病情境中，從潛伏期、到治療，尚未康復前的生病期一樣地脆弱。

 

什麼產業的資安體質最為脆弱？

在遭駭指數分析中，iThome 團隊發現在6個產業類別：一般製造、高科技製造、服務、金融、醫療和公家機構 (政府與學校) 中，所有組織的平均遭駭指數為163，也就是說在一年中，各企業平均暴露在攻擊中的天數佔了 5 個月，其中更以高科技製造與一般製造，分別以遭駭指數 269 以及 227 ，即一年中有約  7-8 個月的威脅暴露期，被認為是資安體質最脆弱的產業。

在問卷結果分析中，iThome 團隊將各企業回覆分類，並進行類別間的比較。將各產業的平均遭駭指數除以 365，以推估一年之中該產業暴露在攻擊的脆弱期比例為何。

分析結果發現，各產業的資安表現由好至壞 (遭駭指數由小到大) 分別為：

金融 (58) < 公家機構 (67) < 服務 (93) < 醫療 (130) < 一般製造 (227) > 高科技製造 (269)

 

資安攻擊的經常性受害者多來自什麼產業？

除此之外，近 8 成的填答企業表示在一年內曾遭遇資安事件，並有近 5 成 (45.5%) 的填答企業表示其遭駭為 1-9 次、並有 1 成 (12%) 的填答企業的遭駭頻率為一年 10-49 次，表示一年遭駭次數達 50 次以上的企業更佔了全體填答數量的兩成 (20.4%)。

iThome 團隊針對一年遭駭次數達 50 次以上的企業進一步進行產業的分析，並發現此類「資安攻擊的經常性受害者」與其所屬產業的分佈，其中各產業佔比由大至少排列為：服務業 (24.7) > 高科技製造 (23.3) > 一般製造 (20.2%) > 公家機構 (18.5%) > 醫療 (14.3%) > 金融 (12.9%)。

既然許多的產業都經常性的受到資安攻擊的影響，那企業是否能有效的發現和即時處理惡意的攻擊便成了眾所關注的問題。

 

企業需要多久的時間發現自己正遭受攻擊？

其中， iThome 團隊的分析資料顯示，在去年 (2021年) 企業平均需要 6.2 天的時間發現弱點。其中以服務業和金融業和公家機構所需的發現時間最短；高科技和一般製造需的發現時間最長。

各產業攻擊的發現時間由短到長排列為：服務 (2.3) < 公家機構 (2.6) < 金融 (2.9) < 醫療(5.5) < 高科技 (9.1) < 一般製造 (9.8)

 

企業需要多久的時間修補正遭受攻擊的弱點？

平均而言，資料顯示在企業遭受攻擊之後，企業平均需要約 4 天 (3.9 天) 的時間才能將遭受攻擊的弱點進行修被。其中以公家機構和金融單位的修補速度最快，以高科技製造業的修補速度最慢。

各產業的修補速度由快到慢分別為：公家機構 (2.1天) < 金融 (2.3天) < 服務 (2.7天) < 一般製造業 (3.7天 ) < 醫療 (4.4 天) < 高科技 (6.7天)

雖然時間看似冗長，但有約 6 成 6 的企業表示可以在發現攻擊的一天內完成對弱點的修被，其中，更有 8.8% 的企業表示可以在一個小時內完成漏洞的修補。

此外，29.1%的企業表示可以在1 週內完成修補，需要超過一週時間修補的企業，只有約全部填答比例的 4.5%。

 

臺灣的資安生態，與往年相比是否有進步？

iThome 團隊以三個面向：歷年平均資安事件數量、遭駭後的平均發現時間以及遭駭平均修復時間，進行 2018-2021 間四年的數據的比較，並有以下發現：

(1) 每間企業平均每年發生的資安事件在 2018 年時最少- 14.6次，到2020年時達到最高- 18.5次，並在 2021 年時下降到 16.1 次。

(2) 平均發現攻擊的時間從 2018 年到 2021 年有明顯的下降，由一開始各企業平均需要 11.5 天發現攻擊，到 2020 和 2021 年，企業僅需 6.2 天便可以發現攻擊。

(3) 平均的修補天數有微小的變化，可能與修補時間的時間單位原先就比攻擊時間還小，因此變化稍微較不明顯。在 2018 年時企業平均需要 4.3 天才可以修補完遭攻擊之弱點，在 2021年時，只需要 3.9天便可以完成修補。

(4) 綜合以上，雖然整體而言，近年來臺灣的資安產業面臨較往年更多的資安攻擊，但是各企業在因應攻擊所需的發現和修補時間，與往年相比都有明顯的進步，整體的資安體系穩定進步中。而在各大企業中，目前以高科技製造業面臨最多的攻擊，卻需要比平均修補和發現時間還長的時間因應攻擊，是臺灣資安系統中，相比於公家機構與金融單位，是目前資安體質較脆弱的產業類別。

 

附註：

1. 此統計調查為期約一個月，調查期間與問卷施測期間相隔半年至一年；調查結果可能受限於資料的遺失或錯誤的記憶。

2. 問卷填答可能據抽樣方式有偏誤 (並非以隨機方式進行填答)，例如：願意填寫問卷者的平均資安能力較好，因此願意對調查進行回覆。因此分析結果僅做為參考與推論使用，並不一定反映臺灣的資安現況。

3. 影響資安事件的數量、或是企業因應能力的因素有很多，例如：每一年度的科技發展與國際情勢皆不相同、或是法規的修定等等。

 

參考資料：

1. 【iThome 2022 資安大調查(上) 資安災情】2021年臺灣企業資安災情多嚴重, iThome (12 Sep 2022): https://www.iThome.com.tw/article/152956