Sophos發佈《亞太及日本地區網路安全未來展望》報告第五版,此報告由Sophos與Tech Research Asia共同製作。調查結果顯示,該地區的資安倦怠情況依然嚴重,受訪組織中有86%表示面臨相關問題(高於2024年的85%),其主要原因包括威脅活動增加、資源不足以及日益複雜的法規要求。
2025(今)年的報告同時指出,AI對資安帶來「雙重效應」:一方面,以AI驅動的資安工具有助於減輕因人員疲勞帶來的部分挑戰;另一方面,員工使用「影子AI」則讓資安防護更加複雜化。
Sophos亞太及日本區資安長Aaron Bugal表示,威脅加劇、法規要求,以及資源有限這三大壓力,正讓許多資安團隊難以為繼。今年的調查進一步驗證我們在第一線的觀察:資安壓力與倦怠不僅是營運上的問題,更是文化、策略以及深層的人性挑戰。若能謹慎導入,AI工具可協助擴展營運能力,並加速事件回應,從而紓解壓力。但若員工未經授權、無規範地使用影子AI,將會帶來許多組織尚未準備好的新風險。
正處於一個新時代,資安意識不僅需要涵蓋防範釣魚郵件,還必須延伸到人們如何透過AI工具使用與分享敏感資料。對AI使用進行治理並劃定清晰的界限,這一點至關重要。
- 影子AI風險升高:46%的受訪組織表示存在使用未經授權的AI工具的情形,即使有72%已制定正式的AI使用政策。另有12%的組織不確定內部是否存在影子AI應用。
- 職業倦怠加劇:受壓力與疲勞影響,組織平均每位員工每週損失4.6小時工作時間,較2024年增加12%。
- 資安預算持續強勁:85%的組織計劃在未來一年增加資安預算,其中24%的增幅超過10%。
- 法規是一把雙面刃:雖然有83%的受訪組織面臨監管要求,但其中56%表示這些要求同時提升了韌性與資安策略。
報告指出,資安壓力不僅僅是技術問題,更是企業經營問題。職業倦怠會影響生產力、事件回應與員工留任,甚至導致資安事件發生。共有31%的企業確認曾因倦怠而發生資安漏洞。
AI的潛力無庸置疑:56%使用AI強化資安工具的受訪者表示,他們的壓力有所減輕,且事件分類與處理速度加快。
然而,未經授權的「影子AI」快速崛起,已成為主要隱憂。儘管72%的組織已建立正式的AI治理政策,仍有46%的組織回報員工使用了未經批准的AI工具,而在部分主要市場比例更高(印度:62%、新加坡:60%、日本:47%)。
影子AI的風險更因能見度與控制力不足而加劇:
- 38%的組織無法掌握實際使用中的AI工具
- 35%的組織不確定這些工具存取了哪些資料
- 31%的組織已經發現部署的AI應用存在漏洞
這些發現凸顯出需要更完善的AI治理框架,不僅要訂定政策,還必須落實監管,尤其是在AI持續融入核心業務運作的情況下。