【商周專欄】台灣微軟總經理卞志祥：AI 時代，資安如何守住？

上個月，我與台灣企業高階主管去美國參加微軟舉辦的 AI 領袖論壇，總部並加開台灣專場，倡議 AI 時代下的資安議題。 

為什麼台灣要聚焦資安？因為高科技產業發達，加上地緣政治環境特殊，台灣一直是亞洲被駭客攻擊次數最多的目標。 

在數位轉型之後，大多數公司會把資訊和資安分開，這本質上正確，分權分責，避免球員兼裁判的系統風險。但在 AI 技術躍進的今日，AI 成為跨資訊與資安部門的橋樑或鴻溝，組織分權得宜會相得益彰，反之則牽絆難行。 

這次的美國行，讓我觀察到兩者間激盪出集體智慧的火花。 

資安長一窺 AI 為企業帶來的願景，更能理解資安防護在「阻擋」之外也須扮演資料「驅動」者的角色；反之資訊長從資安議題的討論中，深度理解在往前衝的同時，與資安部門協作的複雜與重要性。多日議程中，跨產業與跨角色的交流，是最精彩的部分。 

這幾年，資安與資料防護的界線已越來越模糊。過去大家將資安分成國家、企業和個人層級，但現在，國家級的駭客會同時攻擊企業甚至個人；或隨著遠距工作盛行，個人裝置被攻破後，駭客便可入侵其所屬企業，如何防禦不可不慎。 

隨著 AI 工具和社交破口越來越多，對企業來說，全球「協防」是現在除了零信任架構外最重要的概念。譬如，當駭客以新型手法攻擊某公司被擋下且特徵化後，會傳送到全球聯防體系，讓其他企業的資安系統預先得知此攻擊模式，同步啟動檢查，並預先防護。 

這樣複雜而即時的分析，需要大量跨領域的資料與 AI 科技輔助，樂見的是，已有越來越多資安廠商加入協防體系，讓企業可透過單一平台體現 AI 協作防禦的優勢。 

至於企業本身的資料安全，首要任務就是資料分級。資料標籤依據安全性及運用面的等級而設計，並符合公司治理框架，做為資料傳遞或洩漏時，後續追蹤和保護的依據。 

另外同等重要的是資料存取權限設定。今日的 AI 代理人已經能夠一次獲取大量訊息，若公司內的資料權限設定失據，員工使用AI時很可能看到不屬於權限層級內的訊息，進而增加訊息洩漏的風險。這些，都是現在企業面臨到的大議題。 

這就是為何在建立共同目標並相互理解後，資訊長和資安長的交流能如此深入且實用。 

回到個人層面，你我皆是駭客的目標，也是入侵企業甚至國安的跳板；對於資安的意識，如避免點擊未知連結、或設定個人裝置的多重驗證，都是為抵禦威脅，保護企業及國家盡一份心力。 

本文轉載自 商業周刊