OEM 必須投資供應鏈網路安全的最佳實務

全球幾乎所有產業都是網路犯罪分子的目標。當中的潛在獲利包括金錢、運算能力以及企業和客戶的資料。電子供應鏈尤其脆弱，因此大家應該將網路安全列為優先要務。

舉例而言，2025 年 2 月，台灣有一家印刷電路板 (PCB) 製造商 Unimicron 就遭到 Sarcoma 勒索軟體的攻擊¹。在 2024 年 7 月至 2025 年 3 月期間，該犯罪組織就犯下 83 起網路攻擊行動 (圖 1)²。在滲透 Unimicron 的過程中，網路犯罪分子將號稱竊取自該公司系統的檔案樣本公諸於世，並威脅說，如果該公司不配合贖金要求，將會洩露全部共 377 GB 的 SQL 檔案和企業文件資料。

圖 1：Sarcoma 將全球企業列入其勒索軟體的攻擊目標，包括製造業和科技公司。目前，攻擊主要集中在北美和歐洲。(圖片來源：Ransomware.live)

問題日益嚴重

Cybersecurity Ventures 在 2025 年發佈的一份報告就預測，網路犯罪的花費將從 2015 年的 3 兆美元增加到 2025 年的 10.5 兆美元³。Gartner 某位消息人士估計，光是對軟體供應鏈的攻擊，花費就會從 2023 年的 460 億美元增加到 2031 年的 1380 億美元⁴。

資料外洩的花費也在增加。IBM 的研究估計，網路安全漏洞的平均花費已達到 488 萬美元⁵。而這僅包括硬性花費而已，尚未將潛在的軟性花費納入考量，例如品牌受創。

分析師和專家皆指出網路犯罪迅速增加的多種原因：

• 企業越來越依賴軟體：針對電子產業，過去企業都仰賴自家開發的應用程式，也因此可構成防護孤島。如今，大多數企業轉向第三方軟體和開源應用程式，就有可能遭到不肖人士置入惡意程式碼並發動破壞 (圖 2)。
• 工作人員逐漸採取遠端或混合工作模式：越來越多員工在家或在不同地點工作，因此潛在攻擊面變多，導致風險提升。
• 物聯網 (IoT) 和雲端的版圖擴大：雖然 IoT 設備和雲端基礎架構相當有幫助，但也讓潛在攻擊者有更多入侵機會。
• 攻擊者越來越老練：民族國家支持的團體和勒索軟體攻擊者在鎖定企業時所用的技術越來越細膩。

圖 2：在此概述依賴的開源資源中發現的惡意成分數量不斷增加。(圖片來源：Gartner)

安全優先的四大作法

攻擊者越來越聰明，因此企業必須隨時保持警惕。網路安全就像一場規模龐大的風險賭盤：企業在資料和企業系統周圍建構防禦機制，但不肖人士總是會尋找新方法來滲透系統。企業應定期評估安全程序和技術以領先攻擊者，或至少具有足夠的挑戰性，讓攻擊者轉往其他目標。入口與網路皆須受到保護並有所備援。數位化和實體文件都要受到保護。

在預算中納入網路安全保險。賭一把或許很吸引人，但相較於外洩的花費，保險費微不足道。此保險有助於企業收回法律費用和因應資料外洩的成本。甚至還能補償失去客戶或員工生產力的成本。根據 Embroker 的資料，在 2024 年，企業每年在網路保險上的平均花費介於 1,200 至 7,000 美元，每年的中位數成本約為 2,000 美元。⁶正如您所料，網路保險的價格一直在波動，並在 2022 年創下新高。但在那以後，成本就一直下降。

另一個必要策略就是企業安全審查。有良知的 (白帽) 駭客可以執行滲透測試，以在您當前的系統中判定易受攻擊之處，並在黑帽駭客發現漏洞之前先找出來。

最後就是確保您的組織瞭解投資網路安全的重要性。這些心血應編列預算，以逐年增加投資。

現代電子供應鏈的現況就是，組織散佈世界各地，因此也面臨著四面八方的威脅。除了資料外洩，還有時間、金錢、聲譽與合規風險的成本都在上升，並且可能會繼續上升。企業必須優先預判風險並投資在安全上。只要保持警惕，OEM 就可享受供應鏈應用的優勢，以提高能見度、韌性並減輕風險，並可避開不肖人士帶來的相關風險。

參考資料

1: https://www.cm-alliance.com/cybersecurity-blog/february-2025-major-cyber-attacks-ransomware-attacks-data-breaches

2: https://www.ransomware.live/group/sarcoma

3: https://cybersecurityventures.com/cybersecurity-in-2025-challenges-risks-and-what-leaders-must-do/

4: https://www.gartner.com/doc/reprints?id=1-2HZEKAMU&ct=240701&st=sb

5: https://www.ibm.com/reports/data-breach

6: https://www.embroker.com/blog/cyber-insurance-cost/