AI加劇資安威脅 新加坡籲董事會建立應變指南

商傳媒｜方承業／綜合外電報導

隨著數位轉型加速，企業面臨日益頻繁、複雜且協調性更高的網路攻擊威脅。尤其在生成式人工智慧（AI）技術助長下，網路風險進一步加劇，如深度偽造（deepfakes）與AI自動化攻擊等先進網路釣魚手法層出不窮。面對此趨勢，新加坡交易所（SGX）已要求所有上市公司將資安視為董事會層級風險管理的核心，並對此進行資訊揭露。

根據《The Business Times》報導，良好的公司治理要求上市公司的董事會，通常透過審計委員會，實施健全的網路風險治理框架與事件應對計畫。企業必須具備足夠且有效的內部控制與風險管理系統，涵蓋財務、營運、法規遵循及資訊科技（IT）控制等方面。持續維持一個有效、獨立且資源充足的內部稽核職能，亦是關鍵所在。

董事會應明確定義公司願意承擔的重大風險性質與程度，並在年度報告中揭露已獲得管理層適當的保證。為應對潛在資安危機，董事會應發展一套全面的網路風險應對手冊（playbook），內容可包括企業級的網路風險框架、經過測試的事件應對與業務持續營運計畫、與風險校準的網路保險，以及對資安與揭露控制措施的定期獨立保證。此類指引對台灣企業而言，亦具備重要的參考價值，強調資安不應僅是IT部門的責任，而是最高管理層必須積極參與的策略性議題。

回顧近期案例，澳洲航空（Qantas）已於2025年10月因Salesforce遭到攻擊，導致近600萬客戶的個人資料外洩。駭客利用「語音釣魚」（vishing）假冒員工，騙取權限存取敏感數據。去年，新加坡的Toppan Next Tech也發生勒索軟體事件，造成多家新加坡主要銀行客戶資料受損。這些事件突顯了機密客戶資料外洩不僅會損害客戶信任、企業聲譽，更可能引發法律訴訟。

新加坡的監管機構要求上市公司，一旦發生可能影響股價或公司價值的重大資安事件，必須透過SGXNET及時公告。這項市場揭露義務在2001年《證券與期貨法》中亦有法定依據。可能構成重大影響的資安事件包括營運中斷、敏感資料外流，或威脅到財務表現的系統停機。此外，新加坡當局強烈不鼓勵企業支付贖金給網路攻擊者。儘管此舉不違法，但無法保證資料能被解密或避免再次受攻擊，甚至可能讓企業被視為「軟目標」而反覆遭遇襲擊。董事會必須確保內部控制措施能明確應對IT風險，且揭露控制措施足以處理快速變化的資安危機。