中小企業資安自保指南:2026 威脅數據與 12 項基本檢查清單
「公司太小不會被駭」是最貴的誤解——約 43% 的攻擊鎖定中小企業,AI 更讓釣魚信越來越難辨識。本文提供 12 項分級資安檢查清單(今天/本月/本季就能做)、發包開發時該問廠商的 5 個資安問題,以及預算有限時的優先順序。
「我們公司太小,駭客不會找上門」是最貴的誤解
跟中小企業聊資安,最常聽到的一句話是:「我們又不是大公司,駭客找我們幹嘛?」數據給出的答案剛好相反。資安業界統計,約 43% 的網路攻擊鎖定中小企業,中小企業一年內遭遇攻擊的比例約 49%——幾乎是丟銅板的機率。
原因不難理解:大企業有專職資安團隊,攻擊成本高;中小企業防護薄弱,卻同樣握有客戶個資與金流資料,是投報率最高的目標。而且現代攻擊多數是自動化的——掃描工具不在乎你的公司規模,只在乎哪扇門沒鎖。
代價也遠比想像中高。業界統計,中小企業單次資安事件的平均損失約新台幣數百萬元(美國的估計平均約 25 萬美元),包含停擺損失、資料復原、客戶賠償與商譽傷害;約六成遭受重大攻擊的小公司,在半年內走向倒閉。對資本不厚的中小企業來說,一次事件就可能是存亡問題。
2026 威脅現況:AI 讓攻擊變便宜、變逼真
如果說過去的釣魚信還能靠「文法怪怪的」肉眼辨識,這個優勢已經消失。資安業界統計,AI 驅動的攻擊在 2025 年暴增 340%,72% 的員工表示釣魚信因為 AI 而更難辨識——語氣自然、格式專業,甚至能模仿合作廠商的寫信習慣。
從攻擊入口來看,釣魚郵件仍是最大宗,約占所有攻擊入口的三分之一;而造成損失最高的類型是勒索軟體——檔案被加密、營運停擺,然後收到贖金通知。兩者經常是同一條鏈:一封釣魚信騙走帳號密碼,就是後續勒索的起點。
對中小企業的意義很直接:攻擊的成本在下降、逼真度在上升,「靠員工肉眼把關」不再是可靠的防線。好消息是,下面這份清單裡的基本功,就足以擋掉絕大多數的自動化與機會型攻擊。
12 項基本檢查清單:今天、本月、本季各該做什麼
資安做不完是常態,有沒有做基本功才是分水嶺。以下 12 項按投入門檻分成三級,從今天就能動手的開始:
| 時程 | 檢查項目 | 重點做法 |
|---|---|---|
| 今天就能做 | 多因素驗證(MFA) | Email、雲端後台、網銀、公司系統全部開啟;優先用驗證 App 而非簡訊 |
| 今天就能做 | 密碼管理器 | 淘汰重複密碼與便利貼;每個服務一組獨立強密碼 |
| 今天就能做 | 登入異常告警 | 開啟 Google Workspace、Microsoft 365 等服務的異常登入通知 |
| 今天就能做 | 系統與套件更新 | 作業系統、CMS、外掛開啟自動更新;淘汰已停止維護的軟體 |
| 本月完成 | 備份 3-2-1 原則 | 3 份備份、2 種媒介、1 份異地或離線,並實際演練還原 |
| 本月完成 | 最小權限原則 | 每個帳號只給工作必要的權限;管理員帳號限縮到個位數 |
| 本月完成 | 離職帳號盤點 | 建立離職流程:當天停用帳號、收回權限、更換共用密碼 |
| 本月完成 | HTTPS 與憑證 | 全站強制 HTTPS,憑證設定自動續期,避免過期警告與連線風險 |
| 本季完成 | 員工釣魚意識 | 每季一次內部宣導或模擬演練,建立「可疑就回報」的文化 |
| 本季完成 | 廠商與外包資安 | 盤點有系統存取權的外部廠商,要求最小權限與保密條款 |
| 本季完成 | 個資盤點 | 釐清公司存了哪些個資、放在哪、誰能存取,刪除用不到的 |
| 本季完成 | 外洩應變聯絡清單 | 事先寫好:找誰處理、依序通知誰(客戶、主管機關)、對外怎麼說 |
3-2-1 備份原則白話版:重要資料保留 3 份副本、放在 2 種不同媒介、其中 1 份放異地(雲端或離線硬碟)。勒索軟體會連同連線中的備份一起加密,所以「離線的那一份」才是最後的保命符。另外,沒演練過還原的備份只能算心理安慰——每季實際還原一次才算數。
關於第 11 項的個資盤點:若你的業務會蒐集或爬取外部資料,個資與資料合規的邊界可參考資料爬蟲的法律與合規指南。
發包開發時該問廠商的 5 個資安問題
很多中小企業的網站與系統是外包開發的,資安體質在發包當下就大致決定了。簽約前把這五個問題丟給廠商,聽回答就知道有沒有料:
- 輸入驗證與注入防護怎麼做?合格的答案會提到參數化查詢、輸入驗證與輸出編碼——這是防範 SQL Injection 與 XSS 的基本功,答不出來直接扣分。
- 敏感資料如何加密、金鑰放哪?密碼必須經過雜湊而非明文儲存,傳輸全程 HTTPS;金鑰與連線字串不能寫死在程式碼裡。
- 權限怎麼設計?後台是否分角色分權限、一般員工帳號能不能看到全部客戶資料,決定了內部風險與外洩時的災害半徑。
- 依賴套件多久更新一次?現代系統大量使用開源套件,已知漏洞多數出在沒更新的舊版本。問清楚交付後的更新與維護方案。
- 能不能提供弱點掃描或滲透測試報告?不是每個案子都需要完整滲透測試,但廠商至少要能具體說明上線前做了哪些檢測。
更完整的選商方法(含報價、合約與原始碼歸屬)可參考軟體開發廠商挑選檢查清單;資安要求對報價的影響,則可對照客製化系統開發費用全解析——把資安寫進需求,永遠比事後補救便宜。
預算有限時的優先順序:MFA 與備份 CP 值最高
業界統計,近半數 50 人以下的公司資安預算是零。如果你也是,先別急著買設備或訂閱工具——清單裡 CP 值最高的兩件事,幾乎不用花錢:
- 第一優先:MFA。Microsoft 研究指出,MFA 可以擋下 99.9% 的自動化帳號攻擊,但中小企業採用率不到 34%。這是整份清單裡投報率最懸殊的一項:成本趨近於零,效果接近全壘打。
- 第二優先:備份。MFA 防的是「被進來」,備份防的是「進來之後」。有一份驗證過可還原的離線備份,勒索軟體就從存亡危機降級為麻煩的停機事件。
這兩件做完,再依序補上自動更新、密碼管理器與員工意識訓練。原則很簡單:先把免費的基本功做滿,再考慮花錢的進階防護。多數中小企業被攻破,不是因為對手太強,而是基本功沒做。
資安不是專案,是持續的習慣
這份清單的目的不是要你一口氣做完 12 件事,而是把資安變成例行公事:今天開 MFA、本月做好備份、每季跑一次盤點與演練。攻擊者永遠先挑最軟的目標,防禦者只要基本功做滿,就已經贏過絕大多數同規模的公司。
如果你不確定自家網站或系統的體質,易飛特(EFFECT)提供系統診斷與客製化開發的資安防護規劃,從程式碼、權限設計到部署環境逐項健檢。我們完成過 50+ 個專案、服務 30+ 家企業客戶,歡迎預約 30 分鐘免費諮詢(NDA 保密),帶著你的疑慮來,我們幫你排出最省錢的補強順序。
常見問題
中小企業資安預算該抓多少?
常見基準是 IT 預算的 10–15%,但對多數中小企業更實際的起點是「零成本項目」:MFA、自動更新、密碼管理器與基本備份幾乎不用花錢。有餘裕後再優先投資異地備份、員工教育訓練與年度弱點掃描,一年數萬元即可覆蓋。重點不是金額,而是先把基本功做滿——多數攻擊瞄準的正是連基本功都沒做的公司。
資源有限,最優先該做哪一件事?
開啟多因素驗證(MFA)。Microsoft 研究指出 MFA 能擋下 99.9% 的自動化帳號攻擊,而它幾乎免費,半天內就能替全公司的關鍵帳號開完。第二件事是備份:遵循 3-2-1 原則並確保至少一份離線、演練過還原。這兩件做完,你對帳號盜用與勒索軟體這兩大威脅就有了基本免疫力。
被勒索軟體加密了,該付贖金嗎?
原則上不建議。付贖金不保證拿回資料,還會讓你被標記為「願意付錢的目標」,招來二次勒索。正確步驟是:立刻斷網隔離受感染設備、保留現場證據、通報刑事局 165 或 TWCERT/CC,再從離線備份還原系統。這也是備份被稱為勒索軟體唯一可靠解法的原因——有可還原的備份,贖金談判根本不用發生。
網站被入侵或掛馬的常見徵兆有哪些?
常見訊號包括:搜尋結果出現不明的賭博或藥品關鍵字、瀏覽器跳出安全警告、網站自動轉址到陌生頁面、後台出現不認識的管理員帳號、主機流量或負載無故暴增。發現徵兆時先讓網站下線、更換所有相關密碼,再從乾淨備份還原,並請專業團隊做系統診斷,確認漏洞補上後才重新上線。
這件事,讓易飛特陪你一起做
易飛特提供 30 分鐘免費諮詢,由資深顧問協助你釐清需求、評估預算與時程,所有專案構想嚴格保密(NDA Compliant)。
預約免費諮詢