2024 年初,我接到一個電話,是一位認識多年的傳產老闆。他說公司的電腦全部出現了一個畫面,要求支付 Bitcoin 才能解鎖,裡面有客戶資料、報價單、採購記錄——十幾年的資料就這樣被加密了。他問我怎麼辦,我問他有沒有備份,他沉默了幾秒說:「我以為 IT 人員會處理這個。」

結果是:沒有備份、沒有支付贖金的能力、花了兩個月重建資料,損失難以估計。這個事件讓我決定要把資安這件事好好寫清楚,專門針對台灣的中小企業。

台灣中小企業面臨的主要資安威脅

1. 勒索軟體(Ransomware)

現在最猖獗的攻擊方式。駭客入侵後,用加密演算法鎖定你的所有檔案,要求支付贖金才給解密金鑰。台灣每年有數百起案例,其中九成以上是中小企業。常見入侵管道:釣魚信件附件、未修補的系統漏洞、弱密碼的 RDP(遠端桌面)。

真實案例(2024 年台灣製造業)

台中一家 50 人的金屬零件廠商,員工點了一封偽裝成採購詢價的電子郵件附件,3 個小時內全廠 30 台電腦被加密,包含 ERP 系統和 CAD 圖檔。駭客要求 5 萬美金贖金。因為有定期備份(最後一次備份距事件 36 小時),最終用備份資料復原,損失約 200 萬元(工廠停工損失 + IT 支援費用)。

2. 商業電子郵件詐騙(BEC)

駭客偽裝成你的供應商或合作夥伴,發信要求更改匯款帳號。這類攻擊在台灣的出口製造業和進口商中非常普遍,因為大筆匯款是日常業務。每年造成的損失往往超過勒索軟體。

3. 釣魚信件與社交工程

偽裝成中華郵政、台灣銀行、國稅局、LINE 客服、Apple ID 的釣魚信件,誘導員工輸入帳密。台灣每年超過 10 萬件釣魚事件被通報,實際數量更多。

4. 弱密碼與密碼重用

調查顯示,台灣企業最常用的密碼前三名是:123456、password、公司名稱+123。一旦某個帳號的密碼外洩,使用相同密碼的其他帳號立刻跟著淪陷。

密碼管理:最基本也最有效的防護

使用密碼管理器

密碼管理器可以為每個帳號生成並儲存獨立的複雜密碼(如 Xk9#mP2@vL5qR8!),你只需要記住一個主密碼。這樣即使某個網站洩露,其他帳號也不受影響。

密碼管理器價格特色推薦對象
1Password$3/人/月(企業版)介面佳、Team 功能完整中小企業首選
Bitwarden免費(基本)/ $3/人/月開源、免費版功能夠用預算有限的企業
Dashlane$5/人/月Dark Web 監控功能需要洩露監控
KeePass免費(自架)完全自主控制有 IT 人員的企業

密碼強度標準

現代的安全密碼建議:

  • 長度至少 16 字元(長比複雜更重要)
  • 每個帳號使用不同密碼(密碼管理器會自動處理)
  • 避免使用個人資訊(生日、電話、姓名)

多因素認證(MFA):密碼洩露的最後防線

即使密碼被偷,MFA 可以阻止攻擊者登入。台灣企業 MFA 的普及率仍偏低,這是性價比最高的安全投資之一——成本幾乎是零(大多數服務免費支援),但防護效果極佳。

必須開啟 MFA 的帳號

  • 企業 Email(Gmail、Outlook)
  • 雲端檔案(Google Drive、OneDrive、Dropbox)
  • 財務相關(網路銀行、記帳軟體)
  • 網域管理(GoDaddy、Cloudflare)
  • 社群媒體帳號(LINE OA、Facebook 粉專、IG)
  • 主機控制台(AWS Console、cPanel、寶塔面板)

MFA 方式的安全等級

從低到高:

  1. SMS 簡訊驗證碼:方便但有 SIM 卡劫持風險,優於沒有 MFA,但不是最佳選擇
  2. Authenticator App(Google Authenticator、Authy):每 30 秒更換的 TOTP 碼,安全性高,推薦使用
  3. 硬體金鑰(YubiKey):最安全,成本約 NT$1,500~3,000/支,適合財務主管、IT 管理員等高風險帳號

員工資安教育:人是最脆弱的環節

95% 的資安事件都有人為因素。技術防護做得再好,員工點了一封釣魚信,一切都白費。

每季必做的資安教育項目

  • 釣魚信件識別演練:用 GoPhish 等工具對員工發送模擬釣魚信,看看誰點了連結,作為教育的起點
  • 可疑信件 SOP:建立標準流程——看到索取帳密、要求匯款、要求緊急操作的信件,一律先打電話確認
  • USB 政策:不明 USB 隨身碟不插,公司電腦的 USB 埠可考慮用政策管理
  • 螢幕鎖定習慣:離開座位一律鎖定螢幕(Windows: Win + L,Mac: Control + Command + Q)

備份策略:勒索軟體最有效的解藥

沒有任何資安防護是 100% 的。當攻擊成功時,「有沒有備份」決定了你是「花幾天恢復」還是「關門大吉」。

3-2-1 備份原則

3-2-1 備份原則

3:保留 3 份資料副本(1 份原始 + 2 份備份)
2:使用 2 種不同的儲存媒介(如本地硬碟 + 雲端)
1:1 份備份存放在異地(防止火災、淹水等實體災害)

台灣中小企業的備份實作方案

  • 本地備份:NAS(Network Attached Storage)每天自動備份,建議使用 Synology 或 QNAP,設定 RAID 保護
  • 雲端備份:使用 Backblaze B2(比 AWS S3 便宜 80%)或 Google Workspace 的 Vault 功能
  • 網站備份:WordPress 用 UpdraftPlus,設定每日備份自動上傳到 Google Drive
  • 測試恢復:每季至少做一次備份恢復測試——沒有測試過的備份不能算是備份

網站資安強化

SSL/HTTPS 是基本配備

沒有 HTTPS 的網站,Google 會標記為「不安全」,而且搜尋排名會受影響。Let's Encrypt 提供免費的 SSL 憑證,透過寶塔面板或 Certbot 可以一鍵安裝並自動更新。

WordPress 安全強化清單

  • 定期更新 WordPress 核心、主題、外掛(每週至少檢查一次)
  • 刪除未使用的外掛和主題(每個外掛都是潛在的攻擊面)
  • 修改 WordPress 預設登入路徑(從 /wp-admin 改成 /secure-login)
  • 安裝 Wordfence 或 Sucuri 安全外掛,設定登入嘗試次數限制
  • 定期掃描惡意程式(Wordfence 免費版每週掃描)
  • 建立資料庫備份,並定期還原測試