高科技製造業IT預算增長率下降,仍比一般製造業與服務業高
高科技製造業今年的IT預算平均達到1.27億元,增長率為6.2%,比去年減少了3.6個百分點。這顯示出,在經歷了2021年疫情高峰後,高科技製造業的IT預算增長逐漸回歸到疫情前的水平。儘管增長率不及前幾年,但高科技製造業的IT預算仍然超過億元,明顯高於一般製造業和服務業。
今年IT預算增長放緩,使得高科技製造企業減少IT投資,而是更專注於關鍵領域的投入。今年高科技製造業的IT投資重點是雲端和AI領域。雲端和AI一直是該產業的重要投資項目,今年AI投資增長超過20%,顯示企業繼續加碼AI,而雲端投資增長更快達40%,首次超越數位轉型,成為IT投資的首要項目。
今年,雲端投資是高科技製造業IT投資比重最高的項目,投資金額從去年的666萬元增至932萬元,僅次於金融和政府機關及學校。在ESG永續發展和數位轉型的雙重推動下,高科技製造業對雲端的重視度更高。今年超過三成的高科技製造企業為了應對ESG永續發展,提高了雲端的比重。
今年許多高科技製造業將大力採用公有雲,希望通過使用公有雲服務提高運營效率和資源靈活性,同時支持ESG永續發展和數位轉型目標。
從高科技製造業今年公有雲使用的成熟度來看,也反映了這一趨勢。超過六成的高科技製造業者已經是輕度使用公有雲的企業,甚至每十家企業中就有一家高度依賴公有雲,已將超過一半的應用移至公有雲。此外,極少數高科技製造業已全面使用公有雲。然而,仍有超過三成的企業尚未使用公有雲。
隨著雲端投資力度的增加,高科技製造業今年的兩大雲原生指數相比去年都有顯著增長。高科技製造業的CIO預計今年內部應用上公有雲的比例將超過20%,比去年增加5%。然而,今年近三成的高科技製造企業CIO計畫發展多雲混合雲架構。這顯示出在考慮安全和數據敏感性的同時,高科技製造業更加謹慎地決定哪些應用上雲,哪些應用適合放在私有雲,甚至將不同的應用任務交給不同的公有雲服務商處理。
尤其是,三大公有雲陸續落地台灣,除了已經落地的Google外,AWS將於明年初在台灣啟用區域級雲端資料中心,而微軟也在幾年前宣布了台灣雲端資料中心的建設計畫,目前正在進行中。隨著三大公有雲落地台灣,台灣將進入多雲混合雲的競爭時代,進一步提高高科技製造業對多雲架構的採用。
除了提高公有雲的使用比重外,高科技製造業預計今年內部應用系統的雲原生比例將增長超過25%,也就是說,平均每四個應用中就有一個採用雲原生技術。另一方面,使用K8s管理容器的企業比例從去年的21.9%增至今年的26.0%。
上雲之後,新的資安風險隨之而來?
隨著上雲浪潮的來臨,高科技製造業面臨新的資安風險。雲端服務(網路服務)資安事件從去年的第四象限(低風險低衝擊)一舉進入了第一象限(高風險高衝擊),超過一成的高科技製造業資安主管預計未來一年可能會發生雲端服務的資安事件。
高科技製造業的主要資安風險與一般製造業相同,都是受到勒索軟體資安事件的威脅。57%的高科技業者認為一旦發生勒索軟體攻擊,會造成重大衝擊。自2022年勒索軟體即服務(RaaS,Ransomware as a Service)模式出現以來,勒索軟體攻擊事件激增,更多犯罪組織採用這種攻擊模式,不僅針對大型企業,2023年還針對中型企業發動攻擊。
過去幾年,台灣多起知名高科技企業遭受勒索軟體攻擊,因此這兩年高科技業者在數位轉型的同時,也投入大量資源強化資安防禦,例如加強資料備份和還原能力,以及積極修補資安漏洞等。因此,擔心勒索軟體威脅的高科技業者比去年減少了8%。
然而,資安漏洞(零時差漏洞)攻擊事件和駭客攻擊仍然是高科技製造業在未來一年需要高度警戒的次要風險。特別是今年開始出現針對開源軟體社群的社交工程攻擊,攻擊者試圖在軟體供應鏈上游植入後門程式。這種資安漏洞一旦出現,需要及時修補。
積極推動IT現代化,得更警戒雲原生和上雲的資安風險
在推動IT現代化的過程中,高科技製造業需要更加警惕雲原生和上雲的資安風險。IT現代化是高科技製造業數位轉型的關鍵,雲原生技術和上雲都是重點發展領域。為了應對企業永續的ESG布局,高達三成的高科技業者決定提高上雲比重。到2023年底,高科技製造業平均有15.9%的應用已經上公雲,預計2024年將進一步提高到20.9%。重度上雲(超過一半應用上公雲)的高科技業者在2023年底只有2.5%,但預計2024年底將增加到6.2%。2024年的雲端投資也將從2023年的平均666萬元增至932萬元,增長近40%,遠超過AI、邊緣運算和資安的預算增長。然而,如此積極的上雲也帶來了新的資安挑戰。
因此,對高科技製造業來說,雲端服務/網路服務的資安事件和以雲端供應商為跳板的攻擊這兩大風險在未來一年將明顯比2023年增加許多。
將資安信心水準分成五個等級:極有信心是100分,有信心80分,大致有信心60分,只有一點信心40分,沒有信心是20分。以60分(大致有信心)為及格線,整體產業平均為67.1分,而高科技製造業的信心分數為65.6分,略高於一般製造業和醫療業。
從NIST CSF網路安全框架2.0版的六大面向(治理、識別、保護、偵測、回應與復原)來看,高科技製造業對復原能力(71.1分)最有信心,這個分數高於整體產業平均(70.2分)。然而,高科技業對識別能力的信心最弱,平均只有62.7分,甚至低於一般製造業。高科技業者擔心自己無法識別未來可能遭遇的資安風險。我們製作的2024~2025高科技業資安風險圖可以作為資訊長和資安長在資安布局和決策時的參考。
導致高科技業者難以做好資安的最大阻礙因素是員工資安意識不足(50%高科技業者如此認為),遠高於預算不足的問題(39.6%)。2024年高科技製造業的資安預算平均約為648萬元,高於一般製造業和服務業者,也比2023年增長了約2.4%。高達70%的高科技業者將強化資安視為今年的IT優先目標,有42.7%的企業今年要進一步推動資安轉型。員工資安訓練和基礎的端點及網路防護是高科技業者未來一年兩大資安投資重點。此外,45.8%的高科技業者今年將投入弱點評估,以了解上雲後可能面臨的新課題。
13項高科技業未來一年高衝擊高發生風險的資安威脅
整體來看,未來一年高科技製造業在第一象限(高衝擊和高發生風險)的資安風險項目多達13項,除了勒索軟體資安事件、資安漏洞(零時差漏洞)攻擊事件、駭客外,還包括釣魚網站和社交工程手段等常見威脅。這兩項威脅在去年是高科技業者的首要風險,但今年有淨比例達20%的高科技業者不再將其列為未來一年可能發生的資安風險。去年積極強化員工資安意識後,高科技業者對這類風險的抵抗力增強,但未來一年仍需警惕。
第一象限中的其他八項風險包括:ChatGPT/GAI成為攻擊輔助工具、被植入竊資軟體/後門木馬、資料外洩事件、以第三方為跳板的攻擊、網路犯罪者、雲端服務/網路服務資安事件,以及內部人員是攻擊者的風險。高科技業者的資安長可以優先將資安資源投入到這13項風險項目的防護上。
特別的是,ChatGPT/GAI成為攻擊輔助工具這項風險,今年高科技業者比去年更加擔心。有14.6%的高科技業者因為生成式AI的浪潮而加速推動數位轉型,近20%的高科技業者開始用GAI提高員工生產力或將內部系統與生成式AI技術結合。因為積極擁抱生成式AI技術,許多高科技業者對其風險更加在意,並提高了對這項風險的警惕,這也使得今年這項風險的程度和衝擊比去年顯著增加。
在今年的資安風險圖中,我們以紫色標示未來一年風險明顯提高的項目。高科技業者有兩項紫標風險,都位於第一象限,分別是ChatGPT/GAI成為攻擊輔助工具和雲端服務/網路服務資安事件。如果過去高科技業者的資安長沒有特別關注這些風險,未來一年需要特別注意這兩類風險的資安態勢變化,一旦威脅升溫,需要及時應對。
本文轉載自
【iThome 2024資安大調查系列1】高科技製造業未來一年資安態勢大剖析
【iThome 2024 CIO大調查系列2|高科技製造業IT趨勢1】雲端投資首度超越數位轉型,近7成高科技製造企業已採用公雲
