數位轉型對於企業來說已是一個普遍的名詞，不只是大企業已經進入到2.0的階段，中小型企業也在這幾年內陸續投入來強化企業營運。然而隨著企業數位化的普及，所面臨的資安風險也日漸嚴峻。過往大家所熟知的駭客攻擊，多是鎖定跨國的大型企業，中小企業認定自身並無攻擊的價值往往更疏於防護，也就是這樣僥倖的心態，反而更易成為駭客攻擊的目標。

中小企業為何需要資安防護

1.中小企業=駭客眼中的「軟柿子」

許多中小企業認為自身知名度不高或是規模較小，認為不會成為駭客的攻擊目標。然而根據美國知名通訊公司調查關於企業資料外洩的年度報告指出，中小企業資料外洩的比例占總比例4成。攻擊者或許會利用簡單的釣魚軟體、或鎖定較弱的密碼和過期的軟體漏洞等手法入侵，再藉由勒索軟體來進行要脅，亦或是將竊取的資料放於暗網中進行販售等。對於中小型企業來說，一次的攻擊就有可能造成金錢或是品牌信譽這樣的大量損失。

2.台灣資安法規日益嚴格

台灣由於地緣政治因素，較易成為駭客攻擊目標，也因此政府於近年不斷強化資安的重要性，其中對於中小企業來說，有兩條法規需要特別重視，以免觸法。

• 《資通安全管理法》，公部門及其關鍵基礎設施營運者必須落實資通安全防護，而許多與政府合作或供應鏈相關的企業，也需配合資安稽核與管理制度。
• 《個人資料保護法》要求企業妥善保護客戶個資，若發生資料外洩事件，需依法通報，並負擔民事與刑事責任。

中小企業該如何進行資安防禦

有別於上市櫃公司或是大型企業擁有完整的資安團隊或是IT人員，中小企業往往無多餘人力或成本聘請專業人員協助，然而透過策略性規劃以及適合的工具，仍能達到合規且提升資安防禦的能力。

1.建立資安意識與內部政策

其實發生在中小企業的資料外洩事件，絕大多數還是來自於人員的失誤。由於多數員工並無資安相關意識，因此就會發生點擊釣魚郵件或是密碼過於簡單等狀況，因此建議定期對員工進行資安相關教育訓練，例如辨識釣魚郵件、密碼定期更換，不點擊不明連結等。同時也要制定基本的資安政策，例如帳號使用規範、資料分層存取、定期備份等，有助於降低內部風險。

2.使用具防護力的雲端資安服務

傳統地端資安設備費用較昂貴，且會有延生的人力以及維護成本，讓中小企業難以負擔。因此會建議中小企業採用SaaS訂閱式雲端資安服務，按照用量按月付費，即可為企業網站建立網站防火牆，且擁有7X24的支援服務，免去大量的人力管理及維護成本。

（了解輕量型資安防禦解決方案：ADAS)

3.定期備份與漏洞修補

由於駭客時常利用加密關鍵資料作為手段進行勒索，因此公司機敏資料必須定期進行備份。除此之外，許多中小企業往往出於省錢或是還能用的心態，放置作業系統過期而不進行更新，然而此舉會出現明顯漏洞，作業系統的定時更新除了功能上的提升，更重要的是會修補已知的漏洞，因此若沒有定期更新或將成為駭客輕易入侵的目標。

4.導入入侵偵測與異常行為監控

除了事前的預防之外，如何在攻擊發生的當下清楚攻擊狀況或來源，就仰賴資安管控平台，市面上許多資安管控平台都擁有第一時間告警變偵測異常的功用，中小企業可即時掌握帳號異常登入、惡意連線等行為。

資安已經成為企業永續的一環，對於中小企業來說，雖然面臨技術以及預算上的挑戰，但只要擁有正確的觀念並善用雲端資安服務，就能有效建立防線，保護企業資產與信譽。未來資安法規以及資安意識只會越來越普及且嚴格，數位化時代資安並非成本，而是對客戶以及企業未來成長的投資。