網絡攻擊未曾停歇 醫療機構面對資安問題束手無策

黑客發動一波波網絡攻擊，擁有龐大病患隱私信息的醫療照護機構防御能力卻依舊不足。法新社

　　勒索軟件WannaCry先前肆虐全球的余悸猶存，不肖網絡罪犯隨后又接連發動一波波的攻擊，似乎是永無止境，但真正的問題并非在于網絡攻擊的多寡和頻率，而是在于個人和組織內部是否筑起堅固的防御措施。

      國際計算機稽核協會(ISACA)2017年出版的《網絡安全角勢研究》(State of Cybersecurity Study)第二冊報告內容指出，當前網絡安全威脅不斷地更新和演進，再加上由來已久的資源不足問題，一些健康照護機構防范病毒和黑客入侵的能力大為受限。

      接受該研究報告訪查的網絡安全人員當中，有80%預期自己所屬的機構2017年很可能遭到網絡攻擊，但卻無法跟上腳步協助自己的組織克服充滿威脅的環境。53%的受訪者透露，自家機構2016年受到網絡入侵的頻率較前一年增加。

      根據調查，由于97%的受訪機構提高物聯網(IoT)的使用，安全防護措施的重點已從行動裝置轉移至物聯網設備。ISACA建議，隨著物聯網逐漸普及，網絡安全專家必須確保安全措施已經備妥，以嚴密保護新的網絡威脅漏洞。

      62%的受訪者透露2016年曾遭勒索病毒攻擊，但僅53%真正有解決之道。ISACA指出，有監于近來WannaCry和Petya等相繼發動攻擊，如此低的比率透露出組織內部防御能力不足，是個令人憂心的現象。

      此外，僅31%的受訪者透露會定期測試安全系統，13%的人從未測試過，16%的人表示沒有事故回應機制。受訪者表示，雖然企業主有心把網絡安全列為優先，網絡安全人員卻遲遲無法跨越障礙。

      值得慶幸的是，隨著企業逐漸重視信息安全，聘用信息安全長的企業比率達到史上最高水平，這次的調查結果顯示，有此職務配置者比率為65%，比2016年的50%大幅提升。

      然而，資安主管也抱怨雇用適任的安全人員不容易，48%透露團隊人員能力不足，只會解決一些簡單的問題。經由訓練可解決專業技巧不足的缺陷，但企業對此重視程度不高，有25%的組織提撥給每一位安全團隊成員的訓練經費低于1,000美元。

      整體而言，網絡安全預算仍維持高水平，不過有意在2017年提高相關支出的企業僅占約一半，比2016年的61%減少。