Skip to main content
← Back to board (業界新聞)

AI時代資安新風險,東元電機:未來駭客攻擊的不只是系統,而是企業決策

by
iThome
iThome Bot ·
Posted in 業界新聞
新聞

資安是長期能力的積累

胡修武認為企業不應把資安視為一次性的導入專案,而是一種需要長期累積的企業能力。許多企業談資安時,多聚焦於導入EDR、SIEM、SOAR等工具,或推動ISO制度與稽核流程,但是真正關鍵的是,企業是否透過這些過程,逐步建立可持續運作的能力體系。他認為,專案有開始與結束,但能力沒有終點,企業真正該思考的,不是「專案有沒有完成」,而是「這個專案替企業留下了哪些能力」。

他以知名武俠小說中的「掃地僧」比喻具備成熟能力的資安團隊,真正強韌的資安組織,平時不一定高調處理大量事件,而是在背後持續累積的基礎內功,包括資產盤點、漏洞管理、弱點修補、告警判讀、備份與災難復原等能力。當企業真正發生資安事件時,可能才發現連完整的資訊資產清冊都沒有,導致漏洞修補、網路隔離與事件處理都無法有效進行。因此,資安韌性並非靠單一工具或短期專案建立,而是企業長時間、一層一層堆疊出的能力積累。

AI風險:影響企業決策

至於AI帶來的資安風險,胡修武指出,過去企業談資安,主要聚焦於系統是否遭入侵、資料是否外洩,以及網路是否受到攻擊,但AI時代最大的不同,在於AI已開始直接參與企業的分析與決策流程。未來企業內部大量操作,可能不再由人員直接操作ERP、MES等系統,而是由AI Agent代為執行,人類透過自然語言與AI互動,由AI協助解讀報表、提供建議,甚至執行部分決策。

在這種架構下,駭客攻擊的方向也將改變。胡修武認為,未來攻擊者不一定需要癱瘓系統,而可能透過污染資料、操弄Prompt或誤導模型,使AI產生錯誤分析,進一步影響企業高層決策。他強調,未來AI時代真正危險的地方是,「攻擊的已經不是系統,而是決策本身」。

他也指出,AI的導入,正讓企業的攻擊面快速擴大。過去企業資安防護主要圍繞在防火牆、端點保護與網路邊界,但現在AI大量依賴外部資料、API串接、Prompt輸入與模型訓練資料,這些都可能成為新的攻擊入口。

特別是當AI模型長時間運作後,還可能出現模型漂移(Model Drift)問題,讓模型判斷逐漸偏離原本設計目標。如果訓練資料本身遭污染,AI產出的結果也可能受到影響。

胡修武指出,AI時代下,企業能力被進一步放大的核心之一是資料治理(Data Governance)。過去企業資料多半分散在ERP、MES、CRM等不同系統中,即使資料品質不一致,影響通常仍侷限於單一部門。但當企業開始推動AI分析、BI與自動化決策後,資料會被大量集中、串聯與重複使用,原本隱藏的資料問題,也會被同步放大。因此,東元電機內部推動數據中臺,將集團內部資料進行集中與標準化,希望能支援後續AI分析與模擬應用。

不過,他也強調,資料集中同時代表風險集中。當大量資料進入同一平臺後,若權限管理、資料分類與資料流向控制沒有做好,集中化反而會讓風險被放大。「模型是引擎,資料是燃料,如果燃料是髒的,引擎跑出來一定有問題」,胡修武說。

為此,未來企業治理的重點,將不再只是系統整合,而是資料流(Data Flow)的管理與控制。

他進一步提到,生成式AI也正在大幅改變社交工程攻擊型態。過去詐騙或釣魚攻擊多半仰賴人工操作,但現在AI已能自動生成釣魚郵件、模擬主管語音與影像,甚至製作深偽(Deepfake)內容。企業員工未來可能接到「看起來像真的」主管視訊會議,或收到仿真的AI語音指示,使辨識真假變得更加困難。

除了企業資安外,他認為AI風險也正擴大到更廣泛的安全領域,包括認知作戰、惡意資訊操作,甚至生化武器研究等。AI已不只是IT議題,而是跨入社會安全與國安層級的新風險來源。

AI加快攻防速度

另一方面,AI也正在讓資安攻防速度出現巨大變化。胡修武指出,過去企業面對的是駭客個人或團體,但未來可能面對的是AI自動化攻擊鏈。近期已有AI模型能快速挖掘多年未被發現的漏洞,未來攻擊流程甚至可能從漏洞探索、滲透、攻擊到擴散,全程自動化完成。

這也意味著,企業未來不能只依靠人工進行防禦,而必須開始導入AI協助資安,包括利用AI進行威脅分析、異常偵測與自動化事件回應。未來的資安攻防,很可能演變成「AI對抗AI」。

當AI成為企業的「數位員工」,管理重點在身分識別、權限及風險管理

胡修武認為,AI最大的挑戰還不只是技術,而是治理模式的全面改變。因為AI不像傳統IT系統只是照流程執行,它具有一定程度的自主性,因此企業必須重新思考,哪些決策可以交給AI處理、哪些仍需人工覆核,以及AI能接觸哪些資料與系統。

當AI逐漸變成企業中的「數位員工」,而IT部門也可能從過去管理系統,轉變成管理數位員工的單位。企業未來可能需要替AI建立身分識別、權限管理與操作紀錄,並針對不同AI應用建立高、中、低風險分級制度。

他也強調,AI與資安治理不可能只靠IT部門完成,因為真正瞭解資料價值與業務風險的是第一線的業務單位,因此AI治理必須讓高階主管、業務部門、法務、稽核與資安團隊共同參與,才能真正建立有效的管理機制。

他以東元電機自身為例,近幾年東元電機持續透過培訓、競賽與跨部門推動等方式,讓AI與資安不只是IT議題,而是逐步成為企業文化的一部分。對企業而言,AI帶來的不只是效率革命,也同時帶來治理模式與風險管理的新挑戰。

View original 0 Likes 0 Boosts

Comments (0)

No comments yet.