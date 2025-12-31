企業資安風險有哪些？調查揭露企業最憂心的威脅與挑戰
企業資安風險不只來自駭客攻擊或勒索病毒，更可能是難以察覺的威脅，如網路釣魚、社交工程、Deepfake 偽訊息，以及老舊系統漏洞。這些風險雖不一定立即發生，但一旦出現，可能導致資料外洩、業務中斷，甚至損及企業聲譽，因此成為資安策略與防護的核心焦點。
目錄
➤企業面臨的資安威脅與挑戰
➤企業憂心的資安風險排名
➤企業為何對這些風險特別擔心？
➤企業如何因應這些資安挑戰？
企業面臨的資安威脅與挑戰
說到企業資安風險，大多人第一個想到的是駭客攻擊或勒索病毒，但實際上令資安人員擔心的，其實是不易察覺的威脅，例如網路釣魚、社教工程 和 Deepfake(深度偽造)等技術帶來的假訊息風險。這些風險雖然未必立即或經常性的發生，但一旦發生異常，則可能導致資料外洩、業務中斷，甚至損及企業聲譽。
除了外部威脅，企業在推動資安管理時，也面臨著許多內部的挑戰。
根據《iThome 2025企業資安大調查》內文中指出，「老舊資訊系統更新」是 2025 年資安人員最擔心的議題。在過去，老舊資訊系統更新一直是名列前茅的挑戰之一，尤其是服務業、一般製造業、政府和學校都視為首要的挑戰，而高科技製造業、醫療業則將其視為第三大挑戰。
造成「老舊資訊系統更新」成為挑戰的原因，通常是非技術性的，而是商業、成本、風險與人才考量所致。例如，系統具有不可替代性，升級失敗可能影響業務；遷移成本龐大，缺乏專業人才支援；或因投資回報率不明確，而使決策者對更新產生感知偏差。這些因素交織在一起，使得企業在資安治理中，除了應對外部威脅，也必須解決內部管理與策略上的困難。
除了老舊系統更新之外，企業內部受到的挑戰還包括：資安意識培育、應變能力準備、技術能力提升、資安治理確保、掌握威脅進化、公司高層支持、人力不足因應和資安文化建立。
企業憂心的資安風險排名
根據《iThome 2025企業資安大調查》表示，在 2025 年的資安調查中，有超過六成企業對「網路釣魚和社交工程」最為警覺，是位居第一的資訊安全風險威脅。
以產業別來看，政府學校最為憂心的首要風險是「DDoS攻擊」，而服務業則是「個人資料外洩」，而從新興風險來說，各家企業對 Deepfake(深度偽造) 有明顯的關注提升。
《iThome 2025 CIO暨資安大調查》 TOP 12 排名如下：
網路釣魚/ 社交工程手段：
非利用技術漏洞，而是針對人類心理弱點進行欺騙和操縱。攻擊者會透過「偽裝」的方式來騙取信任，並要求對方匯款、點擊惡意連結、驗證身分或獲取機密資訊。
資安漏洞濫用：
攻擊者發現了軟體、硬體或系統設計中的缺陷和漏洞，並利用來執行非授權操作、獲得全縣或導致系統崩潰的行為。如零時差漏洞攻擊。
勒索軟體資安事故：
企業系統或資料被勒索軟體攻擊，導致系統和檔案被加密、鎖定獲竊取，使攻擊者向被害者索要贖金以換取解密。這是一種數位綁架，威脅受害者的資料資產。
DDoS 攻擊：
這是一個讓網路服務、網站或伺服器因承受過量的流量，而導致癱瘓或服務中斷，使之無法回應正常用戶的請求。也就是讓企業無法透過線上平台提供服務。
瀏覽惡意網站：
這是常見的網路安全威脅，指的是使用者在網路上不小心存取了專門設計用來進行惡意活動、傷害使用者或竊取資料的網站。它可能會模仿高知名度的網站來降低使用者的戒心。
商業郵件詐騙(BEC詐騙)：
攻擊者透過入侵或假冒企業高階主管或供應商的電子郵件帳戶，向財務或會計人員發出欺騙性的指令，以誘騙他們進行未經授權的電匯轉帳或洩露敏感資訊。目的是誘騙企業將錢匯給攻擊者。
個人資料外洩：
個人資料在未經授權的情況下被存取、複製、傳輸、竊取、公開或遺失的安全事件。
機敏資料外洩：
指任何被企業或法律認定為極度重要、需嚴格保護，一旦外洩將對組織或個人造成嚴重傷害的資料，在未經授權的情況下被存取、竊取或洩露的安全事件。
被植入竊資軟體/ 後門木馬：
這是一種非常常見且危險的網路資安事件，指的是電腦、手機或伺服器被惡意軟體感染，導致攻擊者能夠秘密地竊取隱私資料或遠端控制設備。
網路犯罪者攻擊：
有組織或個人出於經濟利益、報復或竊取商業機密等犯罪動機，利用網路和電腦系統對個人、企業或政府發起的任何形式的惡意行為。
國家級網路攻擊：
是指由一個國家的政府、情報機構或軍事單位在背後支持、資助和指揮的網路攻擊行動，這類國家級攻擊者通常被稱為 APT 組織。
雲端服務(網路服務)資安事件：
資料和應用程式不是位於企業的內部實體機房，而是在雲端或網路上，面臨的安全挑戰可能有資料洩漏、服務中斷、未經授權存取或雲端資源濫用等。
企業為何對這些風險特別擔心？
企業對這些資訊安全風險感到焦慮，不僅是因為這些威脅可能造成直接的經濟損失，更因其影響範圍廣泛且難以預測。
舉例來說，網路釣魚與社交工程主要利用人性弱點，一旦員工不慎受騙，就可能導致敏感資料外洩或財務損失。而老舊系統漏洞雖然不常發生，但一旦被利用，往往會造成業務中斷、系統癱瘓，甚至衝擊企業整體營運與聲譽。此外，像 Deepfake 等新興威脅，也可能被用於假訊息散播或詐騙，增加企業防護的不確定性。
綜合來看，企業焦慮的核心原因在於「風險後果可能嚴重、發生難以預測、影響範圍廣」，因此即便某些事件發生機率不高，也會被列入年度資安策略的優先考量。
企業如何因應這些資安挑戰？
面對廣泛且難以預測的資安風險，企業需要採取「多層次的防護」與「管理策略」。針對網路釣魚、社交工程或新興威脅如 Deepfake，員工教育與演練仍是最有效的防線；同時，對於老舊系統、DDoS 攻擊或資料外洩等風險，企業則可透過技術防護來降低潛在損害。
例如，企業可部署防火牆、DDoS 防護、資料加密與權限控管等技術手段，並結合異常監控與即時防護，確保系統穩定運作。在這方面，SkyCloud騰雲運算 提供了完整的 CDN 加速與 Anti-DDoS 防護服務，協助企業抵禦大量流量攻擊，同時加速線上服務，保障業務不中斷。
整體而言，企業透過「技術防護、制度流程與員工教育」三層策略，企業能有效降低各類資安風險如以下。
技術防護：
包含防火牆、入侵偵測系統、DDoS 防護、資料加密、多重驗證...等措施，目的在於阻擋惡意攻擊、保障系統穩定運作與保護敏感資料安全。透過即時監控與自動防護，能降低各類網路攻擊或資料外洩的風險。
制度流程：
建立完整的資安治理架構、異常事件應變計畫，以及權限管理與資料控管，能讓企業在面對資安事件時有明確操作流程，提升反應速度與決策效率，降低因流程不明或責任不清造成的風險。
員工教育與演練：
定期進行資安教育、釣魚模擬測試及異常事件演練，並培養資安文化，讓員工了解風險、提高警覺性，降低人為疏失導致的安全事件。這是對抗社交工程與人為失誤的第一道防線。
