思想坦克》2026年AI資安威脅—台灣借鏡歐盟 CRA 的中小企韌性策略
今年過年期間(2026年2月17日),圓山大飯店資訊系統疑遭駭客入侵,疑似發生客戶個資外洩之風險,凸顯中小型組織的資安威脅,將是今年馬年的資安防護重點。主因,駭客組織將大量使用AI,攻擊防護力較弱的中小型企業,建立跳板,威脅我國整體資安韌性;就此世界經濟論壇(The World Economic Forum,WEF) 於今年過年前(2026年1月12日) 所發布「2026年全球網路安全展望」,就指出AI的進步,將加劇中小型組織的資安不平等與威脅困境。
就此,過年前(2026年2月2日),數發部就已經超前部署,發布新聞稿指出,資安署將攜手經濟部中企署與資安院,打造中小企業資安防護體系,凸顯對中小企業的資安防護重視。
建議未來應參借鏡歐盟的強化中小企業網路韌性徵求計畫,除能讓中小企業資訊出口商,能符合歐盟資安韌性法(EU Cyber Resilience Act,CRA)要求外,更能提出相對完整的配套政策,以強化我國中小企業的資安防護韌性,確保供應鏈的資訊安全。
一、WEF指出AI的進步,將加劇資安不平等現象
早在今年過年前(2026年1月12日)世界經濟論壇(The World Economic Forum,WEF)所發布「2026年全球網路安全展望」 ,就指出AI正在重塑資安風險格局,根據其調查指出成式人工智慧 (genAI) 造成的資料外洩 (34%) 和對抗能力的提升 (29%),將成為 2026 年的主要擔憂;且AI發展也將加速資安攻防進化,即駭客將大量利用AI工具,以提升攻擊的規模、速度、複雜性和精準度,亦將完整發展出自動化攻擊技術,及產生更難防禦的社交工程攻擊,將對資安防護韌性造成很大的挑戰。
就此, WEF也指出AI的進步,正在加劇現有的資安不平等現象,亦即較大規模的組織正率先使用AI工具,偵測資安威脅及執行自動化防禦,但中小型企業和其他類似機構(它們佔全球生態系統的90%)則受限於資金不足,及相對缺乏資安人力,而無法應變AI快速發展所衍生的資安威脅。
二、借鏡歐盟的強化中小企業網路韌性徵求計畫
去(2025)年9月21日歐盟報到和登機系統供應商柯林斯航空航太(Collins Aerospace)生產的 MUSE 軟體因存在漏洞,而遭網路攻擊及植入勒索軟體,導致歐盟最繁忙的倫敦希斯洛機場、柏林機場及布魯塞爾等機場均受到影響 ,凸顯關鍵基礎設施的供應鏈遭受攻擊,將侵駭國家的資安韌性。
就此,一個月後(2025年10月)歐盟網路安全局(European Union Agency for Cybersecurity, ENISA)發布「2025年資安威脅概覽(THREAT LANDSCAPE 2025)」強調資安防禦策略必須以情報為核心,主動搜尋漏洞與威脅、執行異常行為檢測,以及將網路風險管理融入更廣泛的營運和政策框架中,故於《歐盟資安韌性法》(EU Cyber Resilience Act,CRA) 強制規範數位產品和服務漏洞揭露義務,嵌入系統安全設計模式,以減少資安風險。
同時,《網路團結法案》(The Cyber Solidarity Act ,CSoA;Regulation (EU) 2025/38)則建立資安事件的事前預警、事中應變及事後審查機制,改善跨國資安事件合作及共享威脅情報,加強了歐洲的資安聯防。
ENISA也強調更新後的《資安安全藍圖》(Cybersecurity Blueprint)建構大規模資安事件的標準化應變程序。隨後,於過年前,2026年1月28日 歐盟發布強化中小企業網路韌性徵求計畫(Strengthening EU SMEs Cyber Resilience;以下簡稱: SECURE project) ,投入約2,200萬歐元,其中1,650萬歐元為直接財政支持,單一專案最高補助微型、小型和中型企業(MSMEs)約3萬歐元(約112萬新台幣;MSMEs亦須共同出資50%),且與歐盟各國的網路安全協調中心(National Cybersecurity Coordination Centres, NCC)和歐洲數位創新中心(European Digital Innovation Hubs, EDIH)合作,包含義大利、比利時、西班牙、波蘭、盧森堡、羅馬尼亞和奧地利的國家網路安全機構、研究機構參與,加速MSMEs符合《歐盟資安韌性法》(EU Cyber Resilience Act,CRA)要求,以及其他相關標準,例如ISO 27001、支付卡行業資料安全標準(PCI DSS)及歐盟《網路與資訊安全指令第2版》,目標(詳見下表)為:
(1) 加強中小、微型企業網路韌性能力
(2) 支持中小、微型企業遵守《歐盟資安韌性法》
(3) 為中小、微型企業提供市場所需的資安指引與工具
(4) 建構可持續且能應變未來資訊發展趨勢的資安防護機制
三、 建議數發部資安署提升中小企業資安防護策略
去年10月筆者接受媒體專訪 ,就指出8月隨立法院通過《資安法》修正草案,除了應加強公務機關及關鍵基礎設施的資安義務之外,在法規第四條已增訂政府應「協助民間處理、因應及防範重大資通安全事件」,是首次確立政府協助民間資安的法源依據,故應訂定子法(或辦法),積極提出中小企業資安的防護措施,學習歐盟建立民間資安防護的獎勵補助、資安輔導進駐等機制,才能避免像中小型電商、關鍵製造業,因資安事件導致個資或機敏資料外洩。
過年前(2026年2月2日),數發部發布新聞稿指出,資安署將攜手經濟部中企署與資安院,打造中小企業資安防護體系 ,推出「中小企業基本資安諮詢服務」、「中小企業資安教育訓練影片」及「資安星際指南」等多項措施,已經超前部署,建議參考近期歐盟針對中小企業所推動的各項資安防護措施。
期盼,數發部除能參考歐盟SECURE project的他山之石,提出相關中小企業資安防戶配套措施外,更能整體研究歐盟各國所提的中小企業資安因應策略。例如,建議參酌羅馬尼亞國家網路安全局 (DNSC) 所提出的CYBERFORT計畫 ,就邀集政府、資安公司及產業共同合作,為中小企業提供:
(1) 提供資安合規之數位工具,包括合規管理軟體 (CMS)及合規文件草擬工具。
(2) 提供中小企業所需的資源及平台,包括資安指引、最佳實踐和量身定制的建議。
(3) 提供系統管理員、資安營運中心執行者和滲透測試人員等相關培訓課程。
(4) 提供資安攻擊和防禦工具,包括漏洞掃描器、滲透測試工具,及新一代的SIEM/IPS/IDS 解決方案。
(5) 提供能偵測中小企業網路中漏洞及異常情況的人工智慧系統。
作者簡介 :王仁甫
元智大學資管系 專任助理教授、兼任台灣駭客協會理事