OneDegree Global 2024臺灣保險業資安報告：8成使用SaaS平台帳密外洩

OneDegree Global發布2024台灣保險業資安曝險調查報告，比較2021年底對30家壽產險業者的外在資安曝險情形評級與分析，並追蹤報導同30家業者，以評估其在兩年內是否改善並提升資安態勢。主要目標是協助業者了解產業普遍攻擊風險，迅速減少攻擊面並提升駭客攻擊難度。其中8成業者使用之SaaS平台發生帳號密碼外洩，凸顯影子IT問題，易被駭客拿來做為社交工程攻擊的工具。

金融保險業這兩年所面臨首要的資安風險，屬駭客攻擊與社交工程手段為主；同時，隨著當地金管會鬆綁金融上雲規範，雲端供應商間接成為潛在跳板攻擊。生成式人工智慧的興起更引起了企業對社交工程威脅的擔憂，金融業尤其關切ChatGPT可能被濫用成為輔助攻擊工具。這進一步提醒金融業者，生成式人工智慧能夠自動化和定制社交工程手段，因此，金融安全主管在未來一年內加強了對社交工程手段的警戒態度，進而提高了相關風險的評估。

OneDegree Global旗下資安品牌Cymetrics商務開發總監，Eric Fang表示：「金融業是資訊防護領域扎根最深的產業，然而這次調查發現8成業者使用之 SaaS 平台發生帳號密碼外洩，也反映到影子IT現象所導致的結果，最常使用並造成帳密外洩的SaaS 軟體，如Adobe、Canva、Dropbox及 LinkedIn等。OneDegree Global希望透過本次的資安曝險調查報告，協助台灣保險業者持續監控企業的網路曝險和系統弱點，提高資安風險管理能力。這不僅能提供客戶更好的服務體驗，還能保護品牌信譽，提升品牌價值。」 

本次資安曝險調查針對五大常見外部曝險面進行分析，重點結果包含：

1. 網路服務：台灣保險業者的表現優異，全部的保險業者針對對外服務皆有進行控管，資安評級平均落在A~A⁺的等級，跟 2021 年的資安評級平均落在A相較之下，可以看出業者在這兩年當中更加留意對外服務的權限管控，也就是從外部的角度收集不到資料，很難針對業者的對外服務進行資料收集及攻擊嘗試。

2. 網站：台灣保險業者資安評級平均落在A^-~C，有13%的業者落在A^-，87% 的業者則落在B~C中間，也就是有攻擊突破面上的弱點產生，可能因此成為攻擊者攻擊鏈的一環，跟2021 的資安評級平均落在B~B^-相較之下大幅降低，而評級降低的原因主要在於業者網站的防禦設定上有五項安全設置錯誤比例偏高，推測因其大多為預設的緣故，導致容易被忽略。

3. 電子郵件：台灣保險業者資安評級平均落在A⁺~C^-，跟2021 的資安評級平均B^-~C相較之下，42%的業者落在A以上，大幅改善電子郵件相關設置，而58%的業者仍維持在B^-~C，主要在於其業者大多忽略了 DMARC以及SPF設置，導致郵件系統安全出現弱點，使業者因此容易成為攻擊者鎖定執行社交工程攻擊的標的。

4. 帳號密碼：為此次調查中與2021年的調查差異最大的測項，台灣保險業者資安評級平均落在C，有80%的業者評級落在C，而2021的資安評級則是平均落在A，只有20%的業者評級落在C。這也與近年來生成式人工智慧的快速發展有關，ChatGPT除了讓企業員工能夠在工作上更有效率，也被駭客拿來做為社交工程攻擊的工具，進而讓員工帳密更容易流出至暗網當中。

5. 雲端安全：台灣保險業者評級分數皆為A⁺以上，與2021年的資安評級一致。本調查並未發現保險業者在其網域名稱下有任何對外公開之雲端儲存體或公共程式庫，然而OneDegree Global預期在數位轉型驅動下，有愈來愈多企業會逐步採納公有雲服務，因此將持續關注並擴充雲端安全的曝險測試項目。

此外，OneDegree Global亦針對產業法遵技術面進行保險業者法遵評級：

1. ISO27001：產業合規平均分數89.7分，主要因證撤銷機制未設定完整、不安全加密套件及憑證過期而被扣分。

2. PCI DSS：產業合規平均分數 90.0分，主要有兩大項扣分項目：
網站應用上的 CSP（內容安全性原則）未配置或配置錯誤、X-Frame-Options未設置或安全等級不足及缺少CSRF Token及Cookie的三項基本設定未設置或配置錯誤。因憑證撤銷機制未設定完整、不安全加密套件及憑證過期。

3. GDPR：產業合規平均分數85.9分，主要因證撤銷機制未設定完整、不安全加密套件及憑證過期而被扣分。

4. NIST CSF: 這兩年我們新增一項法規技術面評級，即美國國家標準與技術研究所提出的「NIST Cybersecurity Framework」，透過系統性和完整的標準框架，協助企業全面檢視其資訊安全防禦的薄弱點。產業平均分數90.0分，主要原因為網站及電子郵件安全設定之曝險無法符合下列科技面之要求。

欲瞭解更多資訊，歡迎下載完整報告。

【關於 OneDegree Global】
OneDegree Global成立於2016年，為跨國保險科技新創，致力透過數位科技與創新服務來實踐保險的初衷，將保險流程簡單化及透明化，協助企業發展多元的商品和服務。OneDegree Global團隊由來自海內外頂尖的金融保險、雲端技術與資訊安全領域專家所組成，已獲世界級企業投資，並與多間國際級保險公司合作。

OneDegree Global旗下包括IXT保險科技解決方案及Cymetrics資安檢測品牌。其中IXT賦能保險業者和線上平台快速推展銷售創新商品，提升營運效率，其開放式架構可無縫與外部通路平台整合，透過異業合作建構保險生態圈，豐富業務場景、實現營收成長，並藉由數據驅動的技術應用導入，協助業者打造全新保險體驗，創造顧客價值。

而Cymetrics透過提供一個全面的SaaS資訊安全評估平台，協助企業提高其對資安曝險的可視性，並以更敏捷及彈性化的方式管理資安風險。OneDegree Global擁有ISO27001與 ISO27017雙重認證，搭配Cymetrics提供的資安檢測與顧問服務，以最高規格提供企業嚴密的資安防護與隱私管理。