【Biz Hankook】隨著SK Telecom017670資訊洩露事件以及近期多家企業接連遭受駭客攻擊,韓國整體產業的安全脆弱性問題顯露無遺。僅今年以來,GS Retail007070、JobKorea、SK Telecom、CJ OliveNetworks等企業就相繼發生了大規模個人資訊洩露事故。從雲端、終端、勒索軟體到SK Telecom的HSS(家庭使用者伺服器)被黑,攻擊方式不斷演變,企業所面臨的風險要素也愈發多樣化。
對於處理海量個人資訊、敏感資料以及與國家基礎設施直接相關資訊的企業,要求其承擔更高水平的責任。這是因為這些企業安全體系中出現的漏洞,可能演變為整個社會的風險。本文透過對電信三巨頭以及NAVER032640、Kakao、網路三巨頭等主要ICT(資訊通訊技術)企業的資訊保護義務披露資料進行分析,深入審視了其資訊保安投資現狀與應對戰略。

駭客風險“常在”……ICT行業在資訊保護上投入多少?
隨著資訊洩露事故頻發,民間的網路安全應對能力備受質疑,而資料顯示,韓國企業在整體IT投資中僅撥出約6%用於資訊保護。在實施資訊保護義務披露的3年間,企業IT投資中的資訊保護投資佔比平均維持在6.1%左右。對8家主要ICT企業向韓國網際網路振興院披露的資訊保護現狀資料分析結果顯示,NHN Cloud(7.1%)、LG Uplus032640(6.6%)和KT030200(6.4%)的資訊保護投資佔比高於韓國國內平均水平。隨後依次為:△Naver Cloud(5.7%)、△KT Cloud(5.2%)、△SK Telecom(4.1%,SK Broadband為4.6%)、△Kakao(3.9%)、△NAVER(3.7%)。
該指標反映了企業將安全置於何種優先順序。隨著數字基礎設施規模擴大,安全脆弱點也會隨之增加,此時安全投資必須與IT系統的規模及複雜度成正比,才能有效管控風險。從平均值來看,這僅為美國的一半水平。據美國網路安全諮詢機構IANS Research去年的報告顯示,美國企業的資訊保護投資佔比平均為13.2%,且自2020年的8.6%以來持續增長。

根據去年的披露資訊,以2023年為準,除雲服務商外,其餘目標企業的營收佔比資訊保護投資均僅在0%區間。雲服務三巨頭的情況為:△NHN Cloud 4.50%、△Naver Cloud 2.48%、△KT Cloud 1.64%。SK Telecom、KT、LG Uplus等電信三巨頭佔比為0.44~0.49%,NAVER和Kakao分別為0.43%和0.34%。SK Telecom的投資額反映了剝離有線業務運營的SK Broadband的投資額。
電信公司與兩大IT巨頭的資訊保護投資佔比,即使與營業利潤相比也均未超過10%。從行業來看,電信行業中營業利潤佔比資訊保護投資分別為:△SK Telecom 8.69%、△KT 7.38%、△LG Uplus 3.60%。Kakao雖然在資訊保護投資總規模上僅為NAVER的61%水平,但其營業利潤佔比資訊保護投資為5.11%,高於NAVER。

雲服務三巨頭被發現保持著較高的營業利潤佔比資訊保護投資比例。以2023年為準,Naver Cloud投入到資訊保護領域的資金是其營業利潤的3倍以上。NHN儘管出現了284億韓元的虧損,仍投入了63億韓元;而實現442億韓元盈利的KT Cloud(25.19%)在同年投入了111億3300萬韓元用於資訊保護。由於雲服務儲存和處理大量客戶資料,一旦發生資料洩露或服務中斷等安全事故,可能會造成巨大損失,因此需要積極投資以構建資訊保護體系並確保專業人才。這既有初期基礎設施建設需要大量投資的因素,也受到相較於其他企業營業利潤規模較小的影響。
亡羊補牢的企業,“安逸態度”何時休
“一直以為這只是IT部門負責的領域。”
“現在看來,不應該將其視為安全問題,而應該將其視為國防問題。”
SK集團會長崔泰源在7日於首爾中區乙支路辦公大樓發表對國民道歉後,在隨後的問答環節中這樣說道。這是針對有關個人心境提問的回答。崔會長承諾:“至今為止,我一直認為安全只是資訊通訊部門的領域,只依賴於專門團隊。透過此次事件,我深切體會到安全對於整個集團的重要性,今後將增加投資。”會長這種直到現在才意識到安全重要性的態度,與忙於處理洩露事件的公司內部以及國民情緒之間,顯然存在一定的隔閡。

在這次大規模資訊洩露事件中,SK Telecom因在電信三巨頭中資訊保護投資最少而備受批評。去年SK Telecom披露的投資執行規模在電信三巨頭中排名墊底(600億韓元)。甚至不及LG Uplus執行的632億韓元;即便加上負責剝離有線業務的SK Broadband(267億韓元),總計867億韓元也低於同時經營有線和無線業務的KT(1217億韓元)。
SK Telecom計劃在集團層面全面加強網路安全體系。為了提升集團的資訊保護體系,將新設“資訊保護創新特別委員會”,並將其安置在集團最高決策協商機構——SUPEX追求協議會下屬的第九個委員會。為提高獨立性和專業性,將邀請學界和產業界的外部專家參與。
KT和LG Uplus在安全防線被攻破的駭客事件發生後,也曾推進過擴大資訊保護投資等整頓措施。專家指出,有必要合理判斷安全風險對業務的影響。作為外部專家參與委員會的高麗大學資訊保護研究生院教授權憲英(音譯)指出:“韓國法院承認的損害賠償額非常低,而且損害舉證責任也由受害者承擔。企業對資訊保護投資疏忽,是因為沒有承擔具體且明確的責任。”他強調:“既然在洩露事件後提出了加強投資等後續措施計劃,就必須促使其轉化為實質性的改善。”
IAAE國際人工智慧倫理協會理事長全昌培(音譯)強調:“安全是一分耕耘一分收穫。我認為目前的數值絕對不足。包括電信三巨頭在內的大多數目標企業都是正在談論向AI轉型的企業。對於未來將成為重大問題的AI安全,是否進行了妥當的投資,仍然令人存疑。需要進行預先考量。”