[비즈한국] 在網路攻擊威脅日益嚴峻的背景下,韓國企業在資訊保護體系上的投入較去年增長了14%以上。今年,參與資訊保護披露的773家企業資訊保護總投資額達2.4234萬億韓元,繼去年年內突破2萬億韓元后,繼續呈現增長趨勢。
所有披露企業在資訊科技(IT)投資中,資訊保護部分的投入比率僅為6.29%,年內僅增長0.24個百分點。若參考兩年前的指標(6.11%),可謂是“原地踏步”。主要資訊通訊技術(ICT)企業在營收中佔比的資訊保護投資份額也依然徘徊在0%左右。儘管資訊保護投資規模每年都在增加,但評價認為前路依然漫長。

隨著上月30日今年資訊保護披露工作的截止,主要企業的資訊保護投資現狀得到了具體呈現。今年共有773家企業進行披露(包含666家義務披露企業),是資訊保護披露制度強制實施4年以來參與企業最多的一年。資訊保護部門的總投資額為2.4234萬億韓元,較上年(746家企業,2.1193萬億韓元)增長了14.4%。
整體IT投資中,資訊保護僅佔5%
經對電信三社、Naver、Kakao、Coupang等ICT企業以及三星電子005930、SK海力士000660、LG電子066570等主要企業的強制資訊保護披露資料進行分析,結果顯示,9家企業在整體IT投資中僅撥出約5.04%用於資訊保護。從行業來看,SK電訊017670、KT030200、LG Uplus等電信三社的比率最高,為5.97%。三星電子、SK海力士、LG電子等主要電子及半導體行業為5.1%,Naver、Kakao等兩大平臺企業佔比為4.0%。
這一指標顯示了企業對安全的重視程度。隨著數字基礎設施的擴大,安全脆弱點也會隨之增加,此時只有安全投入與IT系統的規模及複雜度成正比,才能有效管控風險。從平均值來看,這還不到美國的一半。根據美國網路安全諮詢機構IANS Research去年的報告,美國企業的資訊保護投資比例平均為13.2%,較2020年的8.6%呈現持續增長態勢。
從投資規模等客觀資料來看,資訊保護投入前三名企業的地位非常穩固。三星電子、KT和Coupang繼去年披露後,再次成為整體企業中資訊保護投資額最高的公司。排名第一的三星電子在2024年全年對資訊保護部門投入了3561.94億韓元,較前一年(2974億韓元)增長了19.8%。KT投入了小幅增加的1250.28億韓元,Coupang則投入了860.7億韓元,較去年增加了約200億韓元。

駭客攻擊後加強資訊保護,LG Uplus呈“增長勢頭”
包括今年上半年發生的SK電訊資訊洩露事件在內,過去接連遭受駭客攻擊的通訊行業近期正在加強資訊保護投資。電信三社是IT投資中資訊保護佔比(5.97%)最高的行業。具體來看,SK電訊為4.2%(合併SK寬頻後為4.4%)、KT為6.3%、LG Uplus為7.4%。
調查發現,LG Uplus在三社中增加資訊保護投資規模和相關人員的幅度最大。LG Uplus披露其2024年全年對資訊保護部門投入了828.32億韓元。這一數字較前一年(632億韓元)增長了31.1%,自2022年(442億韓元)以來連續3年保持強勁增長勢頭,顯示出其強化資訊保護能力的集中投資基調。
SK電訊的投資額為652.31億韓元,雖較前一年增加了7.5%,但規模在三社中最小。若合併負責有線業務的SK寬頻,總額為933.47億韓元,雖高於LG Uplus,但仍未達到同時開展有線及無線業務的KT的水平。

Naver、Kakao表現低於預期,背景何在?
擁有大規模IT基礎設施及敏感客戶與技術資料的ICT及電子、半導體企業在資訊保護投資中起著主導作用。這些企業佔據投資前列也是出於同樣的原因。
隨著多數企業持續擴大投資規模,企業排名也發生了變化。去年在整體企業中排名第6的SK海力士,今年披露的資訊保護投入額為526億韓元,低於去年的627億韓元。相反,由於SK電訊和Naver增加了投入,排名發生了逆轉。Naver表示,去年對資訊保護部門的投入為553億韓元,較前一年(417億韓元)增長了32%。LG電子2024年投入了295.97億韓元。SK海力士和LG電子的IT投資中資訊保護投入佔比分別為5.4%和4.5%。
兩大平臺企業在9家分析物件企業中,僅從投資規模來看處於中下游。Naver和Kakao分別投資了552億韓元和246億韓元。IT投資中資訊保護投入比率方面,Naver為4.5%,Kakao為3.5%。Kakao在9家企業中,資訊保護投資規模和投入比率均處於墊底水平。這些企業作為IT技術公司,反映在賬面上的支出金額相對於實際的安全水平或能力而言較小。Naver解釋稱:“作為IT公司,我們的資訊科技投資比例很高。由於使用了許多自主開發的資訊保護系統,因此反映在財務報表中的資訊保護投資額佔比相對較低。”

鑑於接連不斷的駭客攻擊暴露了整個行業結構性的脆弱點,有觀點指出,企業不僅需要擴大資訊保護相關預算,還需要對整個安全體系進行重新整頓。科學技術資訊通訊部於4日公開了SK電訊侵害事故官民聯合調查團的調查結果,並表示應對因駭客事故而終止合約的使用者免除違約金。原因在於公司違背了責任及合約中重要的“提供安全通訊義務”。
隨著安全事故發生時的被動式應對方式逐漸被淘汰,前瞻性且系統的安全戰略有望成為衡量企業競爭力的核心要素。韓國科學技術研究院(KIST)專門研究員樸尚勳強調:“除了大企業和公共機構外,中小企業也可能成為攻擊目標。安於現狀的安全意識最為危險。”並補充道,“不應將安全視為消耗性開支,而應將其視為投資或生存所需的保險。”