搶先看2008 CSI電腦犯罪與安全調查報告

這份調查內容包含522位資安從業人員，企業、政府、財務金融、醫療與大學院校等與資料安全高度相關的產業機構。

與電腦安全事故(incident)相關的金融詐欺平均成本接近$500,000美元，其次則是處理與殭屍電腦(bot)相關的組織網路成本達 $350,000美元。總體平均年損失 $300,000美元，單一事件的應變成本則較去年從$345,005降至$288,618，而資安事件通報者也自198單位降至144個單位。

遭受超過10件以上資安事件的發生率似乎有下降的趨勢，但是在1-5、6-10件則有些許的增加，所以資安事件是否朝向更加隱匿的手法?或資安防禦真的發揮效果?可能肇因於不同組織間的資安訊息分享有下滑的趨勢，僅ISAC的參與有小幅增加。今年受訪者認為資料外洩來自於內部員工的比例整體而言普遍降低許多(Fig.12)，認為不是肇因於內部員工的竟高達51%，是內部安控、防制資料外洩發生效果抑或此風險被過度膨脹。 資安產品的採用率則以端點安全(NAC)、應用層防火牆(App Firewall)、加密(檔案或傳輸)的增加比率最大。

惡意程式還是佔大宗 (不過CSI 報告中還是使用病毒"Virus”字眼，似乎有點不符合實際狀況) 高達 49%，而行動裝置與筆記型電腦的遺失則緊追在後，佔42% ，比起2007年來看反倒是有降低，(2007惡意程式有52%，行動裝置與筆記型電腦的遺失 佔50%)，內部員工誤用的比率則較去年降低。DNS遭受攻擊或存在弱點的現象普遍上升，較去年升高2%大約十分之一的企業有通報他們遭受到相關的DNS事故。關於針對性攻擊 (targeted attack)的比率從去年的 32% 稍降至今年的27%，這些指透過特製化的惡意程式針對特定企業或企業內特定對象如CEO、CFO等進行入侵或社交工程攻擊。

值得慶幸的是今年在資安政策的完備度上，大幅提升了18個百分比，超過 68%的企業有正式的資安政策或正在發展正式的資安政策，同時也涵蓋了資料保存政策以及軟體發展程序的調查。在資安稽核方面，採用內部稽核與自動化工具均超過5成，也有超過9成採用內部或外部的滲透測試( Penetration Testing)，

再來看資安佔IT預算的比率，探討企業願意花多少預算在管理資訊安全的風險，2008年有53%的組織保留5%及以下的IT預算做資安，比去年的61%來得下降，這樣有好有壞，因為有高達15%的受訪者還不清楚預算的比例，但是在佔IT預算8-10%的比例上比起2007年有上升的趨勢，顯見資訊安全問題已經受到足夠的重視或為不得不花錢下去處理的現實問題。但是有越來越多的受訪者表示，資安已經不是技術問題，而他們的預算不見得從IT部門來，反而是從稽核與內控、法務部門提撥，提升資安在組織內的地位，可讓為預算所苦惱的資安主管借鏡，尋求奧援。 

在去年的調查中，39%的受訪者表示他們用投資報酬率(ROI) 作為一個資安投資的衡量指標，21%利用NPV( Net Present Value)，17% 使用IRR(Internal Rate of Return) 。而今年，有44%表示，他們使用ROI， 26%使用NPV而23%使用IRR，其實使用哪一種方式來衡量成效都是為了呈現資安預算是花在刀口上，也有同時使用多種指標的受訪者。在未來經濟狀況不被看好的狀況下，資安是否會被犧牲掉呢？也許改用能夠預防多少財務損失的方式會來的更恰當，因為多數資安建設已經大量在這幾年建置完成，要在再拿出一個漂亮的數字來證明你的成效的確有困難，不如從預防的角度搭配實際案例來呈現資安的價值。

資料來源 / CSI''s ''2008 Computer Crime and Security Survey