根據安永會計師事務所 2023 年的全球資安領導洞察研究,有高達 64% 的資安長 CISO 對非 IT 員工在資安實務的落實上感到不滿意。這個數據揭示了當前企業內部存在著嚴重的資安意識斷層,而在企業快速導入 AI 應用的浪潮下,這個問題必定會變得更加嚴峻。
科技的日新月異為企業帶來效率與創新的同時,也帶來了前所未有的挑戰。從 2023 年 3 月到 2024 年 3 月短短一年間,各組織內部員工在 AI 輸入的資料量暴增近 5 倍。
比較令人擔憂的是,在科技產業中,這些資料被歸類為敏感資料的比例從去年的 10.7% 大幅攀升至 27.4%,另外,勒索軟體成本也預計將從 2021 年的 200 億美元增至 2031 年的 2650 億美元,皆在反映企業內部在資安意識上存在著更深層面的問題。
近 4 成受訪者坦言:不知怎麼負責任地用 AI
現代 AI 工具的便利性無疑是一把雙刃劍。這些工具提供了極為友善的使用者介面,讓非技術人員能夠輕鬆駕馭進階的資料分析功能,但這種表面的簡單性卻可能讓使用者輕忽了潛藏的風險。
更麻煩的是,在數位轉型的緊迫壓力下,許多員工開始私下採用未經授權的 AI 工具,導致所謂的「影子 IT」問題日益嚴重,也就是指在組織內未經批准使用軟體、硬體或其他系統和服務,而該組織的 IT 部門卻不知情的狀況。
根據安永 2024 年的人為風險資安調查,約 80% 的受訪者都表示擔心 AI 可能被用於網路攻擊,而 39% 的受訪者坦言不確定如何負責任地使用 AI,面對這樣的挑戰,企業需要採取更全面的應對策略。
如何縮小資安意識斷層?創新的培訓方式是關鍵
在技術層面,企業可以部署專門的安全解決方案來監控 AI 服務的使用情況,追蹤資料流向,並透過自動化測試確保合規性。但技術本身並非萬能解藥,更重要的是建立完善的治理機制。這包括從專案初期就進行威脅評估,制定清晰的資料保護規範並建立明確的問責制度。
而回到日常營運中,持續性的資料驗證和分類工作變得格外重要。企業必須優先確保最關鍵和敏感的資料得到適當的保護,建立嚴謹的存取管理機制並時刻掌握資料的流向和使用狀況。這些措施非常重要,甚至如果沒有員工的配合和理解,效果將大打折扣。
安永也提到,創新的培訓方式成為縮小資安意識差距的關鍵。傳統的教育訓練往往枯燥乏味,難以引起員工的興趣和重視。有鑑於此,越來越多企業開始採用智慧化的諮詢服務,透過聊天機器人為員工提供即時的資安建議,簡化複雜的政策查詢流程。有些企業更進一步,將資安培訓遊戲化,透過有趣的互動和獎勵機制,提高員工的參與度和學習效果。
一個員工資安意識薄弱,就可能成資安破口
最後則是在組織架構方面,企業也需要與時俱進。首先是強化資安長的角色,讓其不只關注資料的商業價值,更要注重資料的治理、品質和隱私保護。其次是建立專門的部門,統籌各部門的 AI 應用,確保在提升效率的同時不會犧牲安全性。此外,設計標準化的流程和架構也絕對可以在維持必要管控的同時加速安全的 AI 部署。
企業要在 AI 時代維持資安,絕非單靠某一項措施就能達成。它需要技術、治理、培訓和組織文化的齊頭並進。只有透過這樣全方位的改革,企業才能真正縮小內部的資安意識差距,畢竟在這個資料驅動的時代,只要一個安全意識薄弱的員工出錯,可能就會成為整個組織的資安破口。
企業導入 AI 為何須重新思考資安?揭開資安攻擊的新破口 >>看專題<<
【推薦閱讀】
◆ 勒索病毒轉型瞄準中小企業!趨勢科技揭 2025 資安新變化
*本文開放合作夥伴轉載,參考資料:《EY》1、《EY》2,首圖來源:Unsplash。
(責任編輯:廖紹伶)
