企業上雲往往漏洞百出，專家點出資安界20年來未解的問題|數位時代 BusinessNext

企業上雲往往漏洞百出，專家點出資安界20年來未解的問題

近年來雲端興起，企業上雲蔚為風潮，但人為疏失卻成了雲端資安的最主要威脅。這不禁讓人們思考：大眾的資安意識，能有追上科技發展的一天嗎？

「不過就四、五年前，我們去拜訪一些企業、政府單位的時候，他們都堅決地說絕對不會上雲。現在整個趨勢都不一樣，」在IBM擔任威脅情資產品X-force的全球主管保羅・格里斯沃德（Paul Griswold）說。

他的觀察反映全球企業在近五年來快速遷移到雲端的現象。根據國際數據統計公司Statista的報告，2019年全世界花在雲端運算上的總額約368.6億美元，比起2014年的121.6億美元翻了超過三倍。

對追求數位轉型的企業來說，上雲的好處是顯而易見的。雲端運算省去實體資料中心的建置，讓企業能更容易地規模化，提升營運效率。同時，雲端也加速了應用的開發流程，再加上越來越多雲端平台供應商如AWS、Azure及Google Cloud Platform（GCP）快速發展，讓企業上雲的門檻也逐漸降低。

然而，就如同價值觀的移轉總是落後於制度的改變，與雲端相關的資安風險，最主要的影響因素並非複雜的防禦科技，而是企業本身的心態問題。

企業上雲第一步：拋棄以資料中心為主的做事思維

根據2018年IBM X-force資安威脅報告，在所有遭到公開洩露的資料中，有43%是人為疏失導致。這個數字在前一年時不過才17%。「人們用過去以資料中心為思維基礎的做事方式把資料送上雲端，這是一切問題的起始，」格里斯沃德指出。

過去在自有資料中心的開發環境下，資安常常是程式碼都寫完後，最後才加上去的一層防護罩。然而雲端卻不容許你這麼做，雲端的規模化與高效率特性大大縮短程式從開發到推出、營運的流程。本來大約九到十個月的程式開發期，現在縮短到兩週、甚至是一天。

格里斯沃德認為，在雲端驅動的科技時代，資安觀念應是程式碼的架構基礎，而不是一個附加上去的功能。「工程師不應該出現『我現在要來處理資安防護了』的想法，而是打從一開始就把資安意識放在心上，」他說。

對於嘗試上雲的中小企業，格里斯沃德建議，要多留時間做上雲的規劃。他看過太多公司因為急著把應用傳上雲端導致程式碼內資安漏洞百出。「我知道作為開發者，將程式遷到雲上是很興奮的事。但你必須確保你們是用正確、安全的方式上雲，」他強調。

在格里斯沃德眼裡，雲端運算催生的是一整個科技產業的典範轉移。在這樣一個筋骨汰換的過程裡，我們正處於轉換必經的陣痛期裡。

20年前的攻擊手法，至今仍舊奏效

可是這樣的陣痛期會多長呢？格里斯沃德給出一個不怎麼樂觀的例子。在IBM的年度威脅情資報告X-force裡，像是網路釣魚、企業老舊設備不安裝新補丁等問題層出不窮。即便網路發達，基本資安意識就能阻絕的攻擊，卻始終能得逞。

當然，還是有一些新的攻擊方式及趨勢。舉例來說，IBM發現2018年利用電腦CPU及GPU進行挖礦的攻擊行為比起前一年上升450%。除了傳統金融業以外，由於大數據興起，掌握大量旅客個資的旅遊業遭網攻的比例也大幅增加。

不過20年前惡意程式入侵的手段，至今仍存在。因此國際權威研究機構Gartner提醒，2022年時會有95%的雲端資安威脅源自人為疏失。

然而，駭客是不等人的。

科技迭代發展，資安思維卻難以跟上

格里斯沃德表示，資安界目前面臨的挑戰有二。第一、由於駭客圈的情資分享很順暢，許多網攻工具甚至以開源的方式公開在網路上，使得駭客越來越難應付。同時，基於面子問題，許多大公司並不互相分享情資，很多中小企業的資安人員是由IT管理人員兼任，在遇到勒索軟體攻擊的狀況時，時常會選擇付錢了事。「 直接付錢可能比請一個資安人員來得划算， 」格里斯沃德說。

第二，也因為新的攻擊一直出現，舊的攻擊也始終奏效，不同的資安防護技術及工具不斷疊加，但這些東西缺乏統整。許多企業手裡都有超過80種不同的資安工具，同時也導致資安人才越發稀缺。因為人們期待資安人員要懂得很多不同技術，這使得進入資安界的門檻越來越高。

「以我的經驗來說，常常開出三個資安相關職缺，面試到最後，就只有一個人能真正符合要求，其他位子則繼續空著。」他說。

至於格里斯沃德沒說出口的第三個挑戰，或許是最難改變的現實：在資安界裡，攻擊是一種技術，防禦卻不只如此——它更是一種思維。無論是一般網路、雲端或是未來由5G驅動的物聯網時代，價值觀都跟不上科技的改變。隨著科技迭代發展，人們恐怕得為了落後的價值觀付出更大的代價。

大眾缺乏資安思維的狀況難以在短時間扭轉，格里斯沃德也積極地思考一些解套的方法。例如，由IBM X-Force提供威脅情資的非營利資安專案Quad9，就可以透過伺服器的設定，讓一般民眾在不知情的情況下受到連線防護。

訪問到尾聲，好奇地問了格里斯沃德在資安界做了二十多年，最難忘的一次經驗是什麼？他說，2017年WannaCry勒索軟體攻擊爆發時，他聽朋友說，火車站內顯示時程表的螢幕被切換成勒索軟體的畫面，大大地呈現在所有旅客面前。那不只暗示了有多少老舊的機台沒有即時更新補丁的習慣，同時也是一種恐懼的公然散播。

確實，駭客是不等人的。不過，資安意識雖然難以推動，但在大眾跟上以前，如格里斯沃德一樣的資安大師，還是願意走在前線，去打一般人難以想像的仗。問他為何喜歡這個產業？格里斯沃德笑說：「敵人永遠在改變啊。這種充滿動態的感覺，任何其他產業都找不到。」

七年、三階段，國泰金融集團將雲端內化為營運流程與創新引擎

為什麼國泰可以領先市場完成雲端轉型、數據與 AI 賦能業務？

顏勝豪認為，雲端轉型的起點不是直接遷移系統，而是從四個面向打底：應用系統盤點評估、雲端架構設計、雲端遷移藍圖規劃，以及組織治理框架建立，而這也是 Cloud Ready 階段最重要的事情。
「不同子公司有不同商業模式與節奏，若沒有共同語言與平台底座，上雲很容易各自為政。」顏勝豪表示，為讓所有員工可以齊步前行，國泰以雲端遷移方法論 Cathay 6R（註1）作為共同語言、用平台作為共同底座，讓轉型不只是技術選擇，而是集團行動。
完成單一系統的雲端遷移後，便進入 Cloud Adoption 階段。在這個階段中，要透過大規模遷移建立更成熟的上雲標準作業流程（SOP），透過 FinOps 機制控管與優化雲端營運成本，以及透過自動化與治理模型確認多雲環境與安全與維運穩定性，目標是將雲端內化為組織日常運營的一部分，進而邁向 Cloud First 階段：在合規前提下，新專案與系統升級預設在雲端環境開發，並善用雲原生優勢加速新產品功能開發速度。
「集團雲端策略只有一個核心原則：讓雲成為 AI 時代的成長引擎，而不是單純的基礎設施。」關於國泰的未來雲端布局，顏勝豪如是總結。

以雲端為 AI 資源引擎、發揮數據燃料價值，實現 AI 賦能業務應用

國泰不僅在2025年完成集團百套系統上雲，也啟動數據上雲計畫並為 GenAI 奠定基礎建設。
例如國泰金控實現數據上雲，打造資料湖倉與 GAIA 生態系統架構為 AI 賦能業務做準備：成立國泰風險聯防中心（CRC）攜手集團洗防人員強化風險控管與金融犯罪因應能力；釋出國泰員工 AI 助手–Agia–Beta
版，提供差勤、福利與權益、技術支援、職務職能與集團其他資訊等五大類別管理辦法等查詢服務；此外，亦推出集團數據共享平台、集團法規知識庫、 AI 評測中心等服務，更好發揮 Cloud First 與 AI 賦能業務應用的價值。
雲端是 AI 時代的關鍵底座、數據則是 AI 的燃料。顏勝豪指出，發展AI需要龐大的 GPU 算力，若自建 GPU 機房，不僅硬體設備昂貴、折舊速度快，光是散熱系統一年就高達兩、三千萬元的成本，若採取雲端資源，可以隨啟隨用，同時，大幅降低試錯成本。「當雲端打好基礎、AI成為能力模組，銀行、人壽、產險與證券的創新不再是單點突破，而是放大集團級綜效。」

國泰以 Cloud First + AI 持續領先市場、形塑未來樣貌

「雲端可以優化算力成本，資料則決定 AI 應用上限。」顏勝豪解釋，在 AI 新世代，AI 模型定調能力「下限」，集團子公司掌握的「獨特資料」則決定應用的「上限」，考量雲端有許多好用 AI 服務，唯有資料上雲才能發揮數據價值、用 AI 賦能集團各子公司業務。
例如國泰世華銀行將採取多公有雲策略，打造雲端智慧生態圈，並以現代化雲原生技術拓展應用場景；同時，運用 AI 與資料分析優化客戶服務體驗，並藉由跨雲整合機制支援多元業務模式，以充分發揮上雲效益。至於國泰產險，不僅在兩年半內完成13套核心系統上雲、優化營運流程，如以 Serverless 架構打造百萬級效果、萬元成本的短網址系統等，讓雲端成為產險驅動長期成長的核心引擎與標準配備。

國泰人壽則是透過雲端與 AI 滿足不同客戶需求，如以 AI Search 精準呈現關鍵字搜尋結果，讓客戶可以精準且快速的查找所需資料、大幅優化官網體驗與滿意度。至於國泰證券則是於2026年初推出「庫存管家」服務，以客戶持股為核心，應用 AI 技術打造個人化推播服務，協助投資人更有效率地掌握庫存狀況，提供更即時、系統化的投資管理體驗。
總的來說，國泰金控在集團的雲端轉型不僅是技術升級，更是思維革新，從百套系統上雲進展到 Cloud First 階段，可以預期在雲地基礎下，國泰將進一步引領 AI 時代變革，持續提升營運韌性與放大創新價值。

註1：Cathay 6R 國泰設計 Cathay 6R 雲端遷移方法論，將系統遷移方式依據上雲模式、系統開發成本分為 Rehost 、Replatform、Refactor、Rewrite、Replace 和 Retain 共6種遷移架構，並能對應到 IaaS、PaaS、SaaS 三種不同上雲模式。