信息來源:安全牛
企業(yè)認識到了網絡風險規(guī)模���,卻缺乏可構筑彈性的對策���。
NTT Security 對全球 22 個不同國家的 2,200 家企業(yè)進行了調查研究�����,其 2019《風險:價值》報告中指出:網絡攻擊 (43%)���、數據遺失或被盜 (37%) 和針對電信及能源網絡的關鍵基礎設施攻擊 (35%)�����,是受訪者最為擔憂的��。他們認為這些威脅將在未來一年內給自家企業(yè)帶來更大風險����,危害程度超出貿易壁壘和其他重大全球性事件�,比如環(huán)境問題、恐怖主義和政府措施失效�����。
幸運的是,企業(yè)逐漸意識到了強化網絡安全的需求�。84% 和 85% 的公司企業(yè)分別表示,強化信息安全和保護數據完整性�����,與業(yè)務連續(xù)性同等重要�,甚至超出盈利增長的重要性。90% 的受訪者認為強網絡安全有益于自己的公司���。
網絡安全策略與事件響應計劃缺失
然而�,很多公司企業(yè)甚至連基本的安全水平都維持不好��。僅 58% 的受訪者設置有正式的安全策略����,且其中僅 48% 稱其員工知道該安全策略的內容,意味著僅 28% 的公司擁有員工廣為理解的安全策略���。事件響應計劃描述發(fā)生安全事件時利益相關者應采取的行動,這也是受訪公司企業(yè)的一大短板�����。僅 52% 的受訪者設置有事件響應計劃。其中又僅 57% 的受訪公司其員工切實知曉響應計劃的內容——雖然比 2018 年高了 3%��。潛在后果很明顯:如果他們遭遇成功的網絡攻擊���,這些企業(yè)對自身計劃的不熟悉將會導致事件處理舉步維艱��,即便跌跌撞撞蒙混過關��,也會耗費更長的時間恢復�����。
風險一直增加���,安全預算卻原地踏步
除了規(guī)劃上的短板,公司企業(yè)還沒跟上不斷增長的 IT 依賴與風險�。平均來看,15% 的 IT 預算導向安全�,但自去年開始,歸于安全的運營預算卻降到了 16%�����。這就很麻煩了,尤其是在物聯網 (IoT) 和聯網運營技術(如工業(yè) 4.0)激增導致攻擊界面指數級增長的情況下�����。
德國 (14%) 和瑞士 (12%) 的公司分給安全的 IT 預算占比最少��。建筑和制造行業(yè)花在安全上的開支最少�,IT 預算中僅 13% 分配給了安全?���?紤]到投入應對風險的資源如此微不足道,制造行業(yè)廣為使用的運營基礎設施中引入的潛在破壞性威脅就相當令人頭痛了�����。
1/3 的公司寧可支付贖金
NTT 研究中值得注意的一項發(fā)現是愿意支付贖金的公司數量令人驚訝��。1/3 的受訪者寧愿向罪犯交出贖金���,也不愿投資網絡安全����。他們聲稱:“這樣更便宜����。” 這種想法既危險又天真�����,因為這只會鼓勵壞人再次前來��,胃口還可能比第一次大��。
同樣比例的受訪者稱寧愿支付贖金也不愿因違規(guī)而受罰���,暴露出對違規(guī)后果的恐懼��,和對處理重要監(jiān)管問題及實現健壯事件響應計劃能力的自信匱乏�。這一狀況令人擔憂���,因為網絡罪犯是日漸精進的��。事實上����,網絡犯罪正在經歷工業(yè)化浪潮����,大規(guī)模犯罪集團結成繁榮地下經濟�����,估計年產值甚至超 1.5 萬億美元之多�����。而且一些民族國家正在擴張其網絡戰(zhàn)能力�����,比如收集情報�����、破壞關鍵基礎設施���,或者幫助其本地經濟。
網絡攻擊和客戶記錄泄露的開銷已上億��。例如最近萬豪酒店就泄露了 3.83 億客戶記錄和超 500 萬護照號�,Facebook 也曝光了 5.4 億客戶數據。
高管認為網絡安全是 IT 任務
安全措施協調性差可能源于欠佳或耳目閉塞的高層領導���。NTT 調查研究揭示�,84% 的受訪者稱他們認為網絡安全應該是董事會議題,但僅 72% 的受訪者稱確實是董事會議題�。1/4 (23%) 的受訪者稱公司內有人負責管理日常安全(比如 CISO),但僅 13% 的受訪者稱此人對網絡安全負有最終責任���。
全部受訪者中近半數 (45%),首席級高管受訪者中超過一半的人 (57%)�,認為網絡安全是 IT 部門的問題。這凸顯出了網絡安全和高管間常常存在的認知缺口�����。很明顯����,過去兩年間情況幾乎一成不變,即使一次成功攻擊即可造成重大經濟和法律后果�����。聰明的企業(yè)領導需培育不一樣的企業(yè)思維����,甄別出自家企業(yè)數字策略中的風險�。
結語
網絡安全是企業(yè)領導的首要考慮���。確實如此�����,因為對 IT 正常運轉時間和彈性的依賴從未如此巨大���。但是企業(yè)董事會應超越意識和言辭,落實到行動上����,切實減少企業(yè)風險暴露面,確保長期成功�。
更嚴格的監(jiān)管框架和更高的違規(guī)罰款,正激發(fā)整個企業(yè)的網絡風險意識和對合規(guī)的需求���。但還需刺激企業(yè)治理的進化發(fā)展���。模擬時代行之有效的解決方案(比如簡單地將安全置于 IT 之下)已不在足夠,特別是當來自數字運營和品牌聲譽的收入和利潤利害攸關的時候��。數字時代,幾乎每個董事會決策都將影響企業(yè)網絡風險態(tài)勢�。這正是為什么網絡安全應是董事會議程表上常規(guī)事項的原因,也是網絡安全應在更廣泛風險框架下不斷重新評估的原因所在���。而最為關鍵的�,是事件響應與溝通計劃��,以及經常性演練���。這些措施是企業(yè)有機會在遭遇成功網絡攻擊后快速恢復的唯一方法。
