信息來源:企業(yè)網(wǎng)D1Net
企業(yè)需要意識到網(wǎng)絡風險的嚴重性�����,但通常缺乏建立彈性的應對措施���。
在一項針對22個國家2200多個組織的全球研究中�,NTT Security公司為此發(fā)布的“2019年風險:價值研究發(fā)現(xiàn)”調(diào)查報告發(fā)現(xiàn)���,網(wǎng)絡攻擊(43%)��、數(shù)據(jù)丟失或被盜(37%)以及針對關鍵基礎設施(35%)的攻擊(尤其是針對電信和能源網(wǎng)絡)最受受訪者關注��。受訪者認為��,這些威脅在未來12個月內(nèi)為企業(yè)帶來的風險將比貿(mào)易壁壘和其他重要的全球問題(如環(huán)境污染��、恐怖主義等)還要大�。
幸運的是�����,企業(yè)對加強網(wǎng)絡安全必要性的認識正在增強,84%的受訪者認為強大的信息安全與保護數(shù)據(jù)完整性與業(yè)務連續(xù)性同樣重要��,甚至比收入增長更重要���。90%的受訪者表示�����,強大的網(wǎng)絡安全將給他們的組織帶來福音��。
網(wǎng)絡安全政策和事件響應計劃缺失
但是����,許多企業(yè)都很難維持基本的安全級別���。只有58%的企業(yè)制定了正式的安全策略,但是只有48%的員工表示知道其中的內(nèi)容�,這意味著只有28%的企業(yè)擁有員工可以廣泛理解的安全策略。他們在事件響應計劃中也達不到要求���,事件響應計劃規(guī)劃了利益相關者在發(fā)生安全事件時必須做的事情�����。只有52%的受訪者表示有這樣的計劃�����。雖然這個數(shù)字比2018年高出3%�����,但只有57%具有這樣計劃的企業(yè)實際上知道其中的內(nèi)容��。其潛在的后果是顯而易見的:如果網(wǎng)絡攻擊對他們進行了攻擊����,那些不熟悉自己計劃的企業(yè)將難以應對該事件,并且���,如果他們設法解決該事件�����,則將需要更長的時間來恢復���。
盡管風險增加,但安全預算保持不變
除了計劃上的不足之外,有的企業(yè)沒有跟上IT依賴性和風險的不斷增長�����。平均而言����,企業(yè)IT預算中有15%用于安全性,但歸因于安全性的運營預算所占份額自去年以來已下降至16%�����。這令人不安����,尤其是由于新興的物聯(lián)網(wǎng)(IoT)和網(wǎng)絡連接的操作技術(例如工業(yè)4.0)使攻擊面呈指數(shù)增長。
德國(14%)和瑞士(12%)的公司在安全性上花費的IT預算比例最低�。建筑業(yè)和制造業(yè)在安全方面的支出是最低的,它們將13%的IT預算分配給IT部門����。鑒于用于應對這些風險的資源微乎其微,制造業(yè)廣泛使用的運營基礎設施受到潛在的破壞性威脅�����,這一情況令人深感不安����。
三分之一的企業(yè)寧愿支付贖金
NTT公司研究的一個值得注意的發(fā)現(xiàn)是,愿意支付贖金的企業(yè)數(shù)量驚人��。三分之一的受訪者表示��,比起投資網(wǎng)絡安全�����,他們更愿意把贖金交給網(wǎng)絡犯罪分子�。他們說,這樣的成本“更便宜”���。這樣的推理既危險又幼稚�,因為這在鼓勵這些網(wǎng)絡犯罪分子�����,這也許比最初的支出還高���。
這些受訪者表示�����,他們寧愿支付贖金����,也不愿意不遵守規(guī)定而被罰款,這表明企業(yè)擔心不遵守法規(guī)的后果�,對一些企業(yè)處理重要監(jiān)管問題和實施強有力的事件應對計劃的能力缺乏信心。這種情況令人擔憂����,因為網(wǎng)絡犯罪活動日趨復雜。事實上�����,網(wǎng)絡犯罪正在經(jīng)歷一場工業(yè)化浪潮�����,并正在形成一個蓬勃發(fā)展的地下經(jīng)濟�,估計每年的收入將超過1.5萬億美元。此外����,一些激進國家正在擴大其網(wǎng)絡作戰(zhàn)能力���,無論是收集情報����,還是破壞關鍵基礎設施。
攻擊和客戶記錄對外泄露的成本已高達數(shù)億美元����。最近發(fā)生的此類攻擊的例子包括:萬豪酒店對外泄露了3.83億客戶記錄和超過500萬人的護照號碼,以及Facebook 5.4億個用戶數(shù)據(jù)泄露���。
認為網(wǎng)絡安全是一項IT任務
企業(yè)的安保措施協(xié)調(diào)不力可能是由于高層領導不善或知情不足所致�����。NTT公司的調(diào)查顯示����,84%的受訪者認為網(wǎng)絡安全應該是企業(yè)董事會的問題����,但只有72%的人認為這實際上是董事會的問題。四分之一(23%)的受訪者表示��,他們組織中的某個人(例如首席信息安全官)管理著業(yè)務日常安全,但只有13%的受訪者表示此人對網(wǎng)絡安全負有最終責任�。
在所有受訪者中,將近一半(45%)受訪者以及57%的企業(yè)高管者表示�����,網(wǎng)絡安全是IT部門面臨的主要問題�����。這凸顯了網(wǎng)絡安全與企業(yè)管理層之間經(jīng)常存在的驚人差距����。顯然,在過去兩年中����,盡管一次成功的攻擊可能會產(chǎn)生重大的財務和法律后果,但是幾乎沒有什么改變��。精明的企業(yè)領導者需要培養(yǎng)不同的思維方式����,以發(fā)現(xiàn)組織數(shù)字化戰(zhàn)略中的風險。
結(jié)論
網(wǎng)絡安全是企業(yè)領導者最關心的問題�。正是如此�����,對IT正常運行時間和彈性的依賴從未如此強烈�。但是���,企業(yè)董事會需要超越意識和言辭,而要采取行動���,以減少其組織面臨的風險�����,并確保長期成功��。
更加嚴格的監(jiān)管框架和更高的處罰費用正在提高人們對網(wǎng)絡風險的認識���,并提高了企業(yè)的合規(guī)性。但是他們也需要促進企業(yè)治理的發(fā)展�。在模擬時代可能有效的解決方案(例如,安全性取決于IT部門)不再適用��,尤其是在數(shù)字業(yè)務的收入和利潤以及品牌聲譽受到威脅時����。在數(shù)字時代���,幾乎企業(yè)董事會每個決策都會影響企業(yè)的網(wǎng)絡風險態(tài)勢。這就是網(wǎng)絡安全應成為董事會議程中經(jīng)常出現(xiàn)的項目����,并根據(jù)更廣泛的風險框架對其進行不斷重新評估的原因。除了這些措施之外��,事件響應和溝通計劃以及定期的消防演習至關重要����。它們是唯一讓企業(yè)在成功的網(wǎng)絡攻擊之后有機會迅速恢復的方法。
