國外資安社群報導 2006 CSI電腦犯罪與安全調查

CSI (Computer Security Institute)為一居全球領導地位的會員組織機構，提供資訊教育訓練及服務，同時也是電腦及網路安全的專家。1974年起，CSI便積極提供教育訓練及提倡保護資訊資產的重要性。

　　CSI每年會舉辦大型研討會及展覽；6月的CSI NetSec及11月舉辦年度的電腦安全展覽及研討會。CSI NetSec是企業界最早的網路安全研討會，除了聚焦在技術上外還結合了管理的議題，帶給與會者最前端的策略及解決方案。

　　除了大型研討會及展覽的活動外，CSI也提供如密、入侵管理、網際網路、防火牆、資安認知、Windows等一系列的教育訓練課程。除此之外，CSI每年會出版CSI/FBI電腦犯罪及安全的調查報告，及電子報Frontline、Topline等。

　　2006年CSI/FBI調查報告每年CSI都會進行一項大規模的年度調查，即CSI/FBI 電腦犯罪及安全調查(CSI/FBI Computer Crimeand Security Survey)。此調查在今年已是第11年，CSI將會長期且持續的在資訊安全領域進行下去。今年調查回覆的樣本數為616位在美國電腦安全從業者，包含企業、政府機關、金融業、醫療產業及大學院校等。

　　2004年的調查報告顯示，委外安全及利用投保的方式作為管理網路安全風險的對策，有1%的受訪者表示，該企業的資安工作有80%以上是直接委外，而61%的企業則完全不採委外的方式，相較於2005年，下降了2個百分點。表示IT經理人開始分辨出資安工作與一般IT業務間的差異。在委外資安工作（業務）的企業裡面，以營收越高者委外的比例越高，超過美金10億的企業佔了15%左右。

　　值得探討的是，在616個受訪企業裡，有86%的企業表示，不考慮雇用駭客團體委以資安的相關工作。且調查中可發現，受訪者有29%願意為企業的資訊安全投保，比2005年時多出4%。在資安意外事件統計調查項目，過去一年來未授權存取造成的資安事件比例為52%，相較於去年的56%有下降的趨勢。而在各種攻擊事件發生的比例上，有48%的受訪企業攻擊事件發生次數低於5次。

　　資安意外事件調查項目中，在受訪企業中，最常遭遇的攻擊事件類別以病毒65%最高；其次是行動裝置失竊佔47%，但值得注意的是，金融詐騙、系統入侵、商業間諜等事件的比例與去年相比有小幅增加的趨勢。

　　網路犯罪已經導致美國本土企業實質的財物損失，超過75％來自於病毒、木馬攻擊和未經授權的系統存取。約30%的受訪者在遭逢網路犯罪事件時選擇保持沈默，未向主管機關報備。CSI主任Chris Keating表示：「在2006年，這種狀況慢慢地有所改善，以往僅約20%的企業會通報事件，而今年已經增加到25%。」

　　平均每家企業因網路犯罪而損失的金額為167,713美金，與去年相比已經下降約18%。這是一個很明顯的改變契機，不過也說明了企業在安全對策及教育上應該投入更多的努力。由此次的調查報告中也可以看出，大部份受企業青睞的安全措施還是以防火牆(98%)及防毒軟體(97%)居多，今年較有趣的地方是，新增防間諜軟體的選項，且有79%的受訪者已採用，足見間諜軟體的危害嚴重程度已受到重視。談及如何評估資安防禦措施的成效？報告中顯示，受訪的企業有82%具備有內部稽核的安全機制，進而從中發現弱點及潛在攻擊。

2006 & 2005年趨勢變化

　　2006年調查報告中顯示，與2005年比較，願意在IT年度經費中提高資安預算的企業已有增加的趨勢，尤其提撥10%以上資安預算的企業成長有5個百分點之多，顯見有更多企業開始重視IT安全管理。而且不同規模企業委外的比例也有增加的趨勢，可知企業對於IT安全與一般IT業務的區別已有更明顯的認知。

　　在企業發生攻擊事件後所蒙受的損失金額， 從2 0 0 5 年的130,104,542美金，下降到2006年的52,494,290美金，明顯地減少了50%以上的損失，顯見企業的安全認知及面對攻擊事件的防禦上有長足的進步。另外從報告中可看出，2005年對於資訊安全認知教育訓練的投資以高科技產業及政府最高，然在2006年狀況有所改觀，以顧問及律師事務所為最高，而在資安認知訓練中，最重要的議題以安全政策、網路安全及安全管理為大宗。值得注意的是，網路安全在資安認知訓練的重要度由去年的第4名躍昇為第2名。

　　且調查顯示，80％的企業已經具備內稽內控的安全機制，可以從中發現弱點與潛在的攻擊，且不考慮用曾經是榜上有名的駭客作為內部的資安工作者。雖然此調查結果顯示出企業因網路犯罪而遭受的損失有下降的趨勢，但對於此結果資訊安全從業人員不應該感到太自滿，犯罪技術不斷地在進步，如果稍有鬆懈很快地企業就會成為俎上肉。

　　此調查乃由F B I舊金山電腦犯罪偵查小組協助CSI針對近600家企業，其中不少是超過1,500名員工以上的中大型企業。而這些企業裡面卻只有一半願意和檢調單位共同分享資安情報，尤其若該資安事件會影響公司財務結構時，大部份企業仍有所顧忌。在接下來的二年裡受訪企業認為最關鍵的工作，主要以資料保護（資料分類、識別、加密）以及應用軟體安全（網頁安全、VoIP），其次為政策與法規依循、身份竊盜與隱私權議題。