張晉瑞 資誠企管顧問股份有限公司執行董事
職務舞弊及資訊犯罪事件層出不窮,牽涉層面日益廣泛,當建立社會「信任」已逐漸成為全球企業認同的普世價值時,如何處理這些營運風險成為企業經營者十分關注的議題。企業營運風險可分為內部威脅與外部威脅,其中以「人」的因素最為複雜。
根據2016年度美國舞弊稽核的調查報告,僅有18.9%的舞弊案是由公司負責人及行政主管犯下的,但是,一旦這些最高主管涉入弊案,將造成平均70.3萬美元的損失,遠高於第二名由經理人舞弊(占36.8%)所造成的平均17.3萬美元損失。
就內部威脅而言,許多企業建立了各式各樣的管理制度,投資了大量的資源建構資安防護機制,但是,為何舞弊案件依然屢見不鮮呢?根據過去經驗,弊案涉及人多為資深員工,對公司的各種制度及資安防護機制十分瞭解,因此漏洞在什麼地方,如何避開查緝,都相當清楚。一旦疑似發生弊案,且嫌疑人為公司位高權重的主管,如何低調小心地完成調查,避免引起人心浮動,公司法務需要承受很大的壓力,引進外部鑑識專業團隊協助完成調查,出具鑑定結果,是常見的壓力轉移方法。
在外部威脅方面,近年常見的案例包括駭客入侵、網路詐欺等。在「萬物皆連網,萬物皆可駭」的世界,當駭客從炫耀自身技術,轉變成有目標性、有組識性的犯罪,甚至背後有政治力量支持,似乎已沒有什麼可以阻攔駭客的入侵。
如何降低補救成本,減少整體衝擊,在危機之後重建客戶的信心,是企業之嚴峻課題。
總結過去多年的鑑識經驗,二十一世紀資安策略的風險管理方式,首先要接受「城牆遲早會被攻破」的現實,也就是企業雖然投入了大量的資源建立各種制度及機制,但是終究會有內部員工走偏,背叛公司信任。此外,當經濟利益成為巨大誘因時,駭客一定會想盡方法攻破資安防護機制,近期發生的銀行遭駭事件,就是最典型的案例。
目前企業當務之急,是建構對事故回應的正確態度及方法。假設一旦不幸發生內部或外部威脅事件時,如何讓證據說話,讓企業得以究責、向主管機關證明已善盡善良管理人之責任,甚至在進入法律訴訟時立於不敗之地,需要仔細規劃。
例如接獲檢舉函、發生資料外洩的時候,如何進行蒐證、如何避免在調查分析過程中不慎污染證據,數位鑑識就能夠提供這些答案。期望企業能從數位鑑識角度重構整體資安策略,達到事先預防,遠勝於事後補救之功效。
(作者是資誠企管顧問股份有限公司執行董事)