60% 的受訪者亦為網路安全廠商沒有提供教育高階主管所需的資訊，88% 的公司同意未來 24 個月最大的安全挑戰將是提升員工和經營團隊的警覺性和教育。

持續進行教育和宣傳，可以解決日本地區與亞洲企業最在意的兩個攻擊管道：網路釣魚或網路捕鯨攻擊，以及員工憑證薄弱或遭駭的問題。

Sophos 亞太地區和日本全球解決方案工程師 Aaron Bugal 表示：「勒索軟體攻擊變得越來越複雜，企業需要一個真正且可執行的網路安全教育計畫。目前我們在網路安全策略方面看到的循環是『被攻擊、改變、被攻擊、改變……』，這對網路安全團隊是不利的。提升優先事項的重要性必須從企業最高層開始，並且需要高階主管的帶領，包括對整個企業進行安全認知和教育。」

人才短缺繼續造成嚴重問題
人才短缺仍然是該地區企業的關注重點。73% 的受訪公司預計在未來 24 個月不容易招聘到網路安全員工；26% 的人預計會遇到重大挑戰。

隨著招聘不易，企業也紛紛訂出他們認為需要優先增加人員和能力的領域。包括：

‧ 雲端安全政策和架構
‧ 「教育」員工和高階主管的網路安全培訓技能
‧ 軟體弱點測試
‧ 及時了解最新威脅
‧ 政策合規性和報告

網路安全專業人員的最大挫折
該調查還強調，網路安全專業人員面臨著各種挑戰和挫折，其中大部分與安全意識、洞察力、資訊傳遞和教育有關。而三個最感到挫折的地方是：

1. 高階主管和經營團隊不了解攻擊的可能性，並且沒有做出適當的反應
2. 缺乏有經驗的安全專家
3. 高階主管過度依賴「恐懼和懷疑」的資訊，難以教育

網路安全專業人員遇到的其他挫折包括：

‧ 高階主管認為無法阻止攻擊
‧ 無法跟上安全威脅的腳步
‧ 沒有足夠的投資和時間來培訓一般員工

Bugal 表示：「今年，網路安全專業人員還是受到許多挫折，許多人覺得他們的警告和資訊被置若罔聞。除了缺乏熟練的安全專家外，其實只要從高階主管和經營團隊層面開始著手，教育和警覺性計畫可以克服掉許多其他挫折。網路安全專業人員面臨的挑戰，是公司經營者不夠了解安全性，因此比較不會投資必要的計畫來緩解這些問題。

「問題不在於技術，而在於教育。除非企業能由上而下地了解網路攻擊對企業能力、客戶和本身造成的嚴重威脅，否則增加網路安全支出將無濟於事。」

網路安全教育是重中之重。以下是幫助企業加快網路安全教育的五個步驟：

1. 幫助經營團隊了解不可能保護一切，要學會優先考慮最需保護的關鍵資訊、資料和系統。
2. 應向所有員工提供關於基本原則、攻擊的真實面貌、攻擊管道、威脅行為者和其他術語的培訓課程。
3. 一旦明確定義了這些基礎，企業就需要制定策略並與整合數位轉型計畫。
4. 然後，讓企業變得更具回應能力：套用法規、違規回應協議、贖金支付政策、缺口評估，以及未來的角色和義務。
5. 企業需要清楚地了解合規性、營運的監管環境、違規時的法規要求為何，以及資料安全和管理的適當控制措施。

###

關於此研究
Sophos 委託 Tech Research Asia (TRA) 對亞太地區和日本的網路安全形勢進行了一項研究。該研究包括一次大型調查，在澳洲、印度、日本、馬來西亞、菲律賓和新加坡共收集了 900 份回覆。

- 新聞稿有效日期，至2022/05/06為止

上一篇：朝雲集團寵物品類增長138.9%，深化寵物主糧業務，加速度增長
下一篇：「時間銀行」將於澎湖落地 相關論壇澎湖展開 5/15開放各界來討論