調查：台灣八成保險業者 SaaS 平台帳密外洩，突顯影子 IT 問題

保險科技公司 OneDegree Global 公布 2024 台灣保險業資安曝險調查報告，比較 2021 年底對 30 家壽產險業者的外在資安曝險情形評級與分析，並追蹤報導同 30 家業者，以評估其在兩年內是否改善並提升資安態勢。報告中也發現，八成業者使用之 SaaS 平台發生帳號密碼外洩，突顯影子 IT 問題，易被駭客拿來為社交工程攻擊的工具。

金融保險業這兩年所面臨首要的資安風險，屬駭客攻擊與社交工程手段為主；同時隨著國內金管會鬆綁金融上雲規範，雲端供應商間接成為潛在跳板攻擊。生成式人工智慧的興起更引起了企業對社交工程威脅的擔憂，金融業尤其關切 ChatGPT 可能被濫用成為輔助攻擊工具。報告中也提醒金融業者，生成式人工智慧能夠自動化和定制社交工程手段，因此，金融安全主管在未來一年內加強了對社交工程手段的警戒態度，進而提高了相關風險的評估。

OneDegree Global 旗下資安品牌 Cymetrics 商務開發總監 Eric Fang 表示，金融業是資訊防護領域扎根最深的產業，然而這次調查發現 8 成業者使用之 SaaS 平台發生帳號密碼外洩，也反映到影子 IT 現象所導致的結果，最常使用並造成帳密外洩的 SaaS 軟體，如 Adobe、Canva、Dropbox 及 LinkedIn 等。

這份資安曝險調查也針對了五大常見外部曝險面進行分析：

（Source：OneDegree Global）

網路服務

台灣保險業者的表現優異，全部的保險業者針對對外服務皆有進行控管，資安評級平均落在 A 至 A+，跟 2021 年的資安評級平均落在 A 相較，可看出業者在這兩年當中更加留意對外服務的權限管控，也就是從外部的角度收集不到資料，很難針對業者的對外服務進行資料收集及攻擊嘗試。

網站

台灣保險業者資安評級平均落在 A- 至 C ，有 13% 業者落在 A-，87% 業者落在 B 至 C，也就是有攻擊突破面的缺點誕生，可能因此成為攻擊者攻擊鏈的一環，跟 2021 資安評級平均 B 至 B- 相較大幅降低，而評級降低的原因主要在於業者網站的防禦設定上有五項安全設置錯誤比例偏高，推測因其大多為預設的緣故，導致容易被忽略。

電子郵件

台灣保險業者資安評級平均落在 A+ 至 C-，跟 2021 的資安評級平均 B- 至 C 相較，42% 業者落在 A 以上，大幅改善電子郵件相關設置，而 58% 業者仍維持 B- 至 C，主要在於其業者大多忽略 DMARC 及 SPF 設置，導致郵件系統安全出現短板，使業者因此容易成為攻擊者鎖定執行社交工程攻擊的標的。

帳號密碼

為此次調查中與 2021 年的調查差異最大的測項，台灣保險業者資安評級平均落在 C ，有 80 % 的業者評級落在 C，而 2021 的資安評級則是平均落在 A，只有 20% 的業者評級落在 C。這也與近年來生成式人工智慧的快速發展有關，ChatGPT 除了讓企業員工能夠在工作上更有效率，也被駭客拿來做為社交工程攻擊的工具，進而讓員工帳密更容易流出至暗網當中。