IFRS 永續揭露準則對新興科技風險因應（下）：勒索經濟橫行，企業該如何自處？

2022 年 IFRS 永續揭露準則 S1 及 S2 草案發布，其中 S1 是永續相關財務資訊揭露，要求個體應揭露其重大永續相關風險與機會的有用資訊，向一般用途財務報導之使用者，提供充分基礎供其評估個體之經營模式。S2 則提到企業需要揭露氣候相關機會，比如新興科技產生的機會。不論個體所處行業為何，必須提供所有重大永續相關風險與機會的重大資訊以評估企業價值。

證交所已於 2021 年 8 月 3 正式公告，發布修正「臺灣證券交易所股份有限公司對有價證券上市公司重大訊息之查證暨公開處理程序」，新增重大資安事件需發布重訊，若企業未能正視資訊科技所帶來的機會與挑戰，反而會造成投資人、利害關係人的疑慮，對企業營利、信譽都是莫大損失。

勒索事件層出不窮

透過資訊系統的勒索攻擊近來年逐步變成常見的駭客手法，比如：

1.主營利項目是消費者透過網路才能完成交易的 B2C 業者遭受到分散式阻斷服務（DDoS）攻擊而讓業務完全停擺，以電商、證劵網路下單受害最嚴重。
2.將營業秘密、重要資料、急迫性資料、產線設備參數加密後進而勒索，受害者更是殃及企業與個人。
3.將機敏、隱私資料竊取後，以對外公布為手段而威脅，這些從國際新聞事件、上市櫃公司發布因資訊安全事件而造成重大損失的重訊都可以看到勒索經濟當道。

圖片來源：

勤業眾信 提供

企業與個人該如何自處

圖片來源：

勤業眾信 提供

對個人而言，還可以透過下列工具或作法自我強化資訊安全：

1.透過微軟官方提供的 TCPVIEW、Autoruns、Process Monitor、Process Explorer 等工具，檢查異常程式。
2.檢查系統及設備的登入帳號、高權限帳號群組的成員。
3.注意社交工程，誤任意點閱 URL、附件、SMS簡訊。
4.OTP 密碼無論任何理由都不應該讓其他人知道。
5.定期補丁（Patch）、安裝防毒軟體（Antivirus）。
6.善用微軟內建 Windows 沙箱（Sandbox）或透過虛擬化軟體（EX: VMware Workstation、Oracle VirtualBox）配合 Process Hacker、Malware Defender 等工具進行可疑檔案或程式的檢測，查看點選時是否額外啟動其他程式、異常連線。
6.個人攝影機（Camera）若不用時可透過實體開關關閉，或貼起來。

圖片來源：

勤業眾信 提供

對企業而言，除了上述建議外，還可以透過下列作法持續強化：

1.重要資料離線備分，關鍵服務及設備須備品或備援機制。
2.企業對外的客服聯絡方式，盡量不用 Email 收件，宜改用表單透過邊界值檢查過濾惡意字串、限制上傳檔案格式。
3.對外網站服務受 DDoS 攻擊時，除了 ISP 流量清洗外、可使用 Cloudflare 或類似技術以隱藏真實 IP，降低攻擊機會。
4.實作 ISO 27001:2022 附錄 8 的各項控制項目，比如：系統或設備應落實資訊安全基準之組態設定、上網過濾、透過資訊安全健診實施技術脆弱點的偵測並修補等。
5.重要系統或人員（高階主管、財務人員、IT 管理員）電腦安裝 EDR，以早期偵測與回應潛在的資訊安全威脅。
6.若受到勒索攻擊（EX：DDoS、勒索加密、資料外洩等），建議先做好企業的應變措施，而不要去回覆駭客的要求。

永續與共存

困擾世人整整 3 年的 COVID-19 總算走到尾聲，然而它幫驕傲的人類上了寶貴的一堂課：「永續與共存」，而這也讓哈佛商學院不再高喊「股東至上」，而要企業發展必須要與社會、環境一齊永續與共存，如同 COVID-19 病毒一樣，人類無法在短時間內消滅它，需找出如何與敵人共存下，持續我們的正常生活。

同樣的，雖然網路攻擊與惡意活動都是人為的發生，但在如今網網相連的時代，要根絕資訊安全危機越來越不可能，所以資訊安全會以持續精進的風險管理而繼續發展，勤業眾信團隊可以協助企業善用科技讓經濟發展、環境永續達到雙贏。