信息來源:企業(yè)網(wǎng)D1Net
企業(yè)需要意識到網(wǎng)絡(luò)風(fēng)險的嚴重性�,但通常缺乏建立彈性的應(yīng)對措施。
在一項針對22個國家2200多個組織的全球研究中�,NTT Security公司為此發(fā)布的“2019年風(fēng)險:價值研究發(fā)現(xiàn)”調(diào)查報告發(fā)現(xiàn)�,網(wǎng)絡(luò)攻擊(43%)�、數(shù)據(jù)丟失或被盜(37%)以及針對關(guān)鍵基礎(chǔ)設(shè)施(35%)的攻擊(尤其是針對電信和能源網(wǎng)絡(luò))最受受訪者關(guān)注。受訪者認為�,這些威脅在未來12個月內(nèi)為企業(yè)帶來的風(fēng)險將比貿(mào)易壁壘和其他重要的全球問題(如環(huán)境污染、恐怖主義等)還要大�。
幸運的是,企業(yè)對加強網(wǎng)絡(luò)安全必要性的認識正在增強�,84%的受訪者認為強大的信息安全與保護數(shù)據(jù)完整性與業(yè)務(wù)連續(xù)性同樣重要,甚至比收入增長更重要�。90%的受訪者表示,強大的網(wǎng)絡(luò)安全將給他們的組織帶來福音�。
網(wǎng)絡(luò)安全政策和事件響應(yīng)計劃缺失
但是,許多企業(yè)都很難維持基本的安全級別�。只有58%的企業(yè)制定了正式的安全策略,但是只有48%的員工表示知道其中的內(nèi)容�,這意味著只有28%的企業(yè)擁有員工可以廣泛理解的安全策略。他們在事件響應(yīng)計劃中也達不到要求�,事件響應(yīng)計劃規(guī)劃了利益相關(guān)者在發(fā)生安全事件時必須做的事情�。只有52%的受訪者表示有這樣的計劃。雖然這個數(shù)字比2018年高出3%�,但只有57%具有這樣計劃的企業(yè)實際上知道其中的內(nèi)容。其潛在的后果是顯而易見的:如果網(wǎng)絡(luò)攻擊對他們進行了攻擊�,那些不熟悉自己計劃的企業(yè)將難以應(yīng)對該事件,并且�,如果他們設(shè)法解決該事件�,則將需要更長的時間來恢復(fù)�。
盡管風(fēng)險增加,但安全預(yù)算保持不變
除了計劃上的不足之外�,有的企業(yè)沒有跟上IT依賴性和風(fēng)險的不斷增長。平均而言�,企業(yè)IT預(yù)算中有15%用于安全性,但歸因于安全性的運營預(yù)算所占份額自去年以來已下降至16%�。這令人不安,尤其是由于新興的物聯(lián)網(wǎng)(IoT)和網(wǎng)絡(luò)連接的操作技術(shù)(例如工業(yè)4.0)使攻擊面呈指數(shù)增長�。
德國(14%)和瑞士(12%)的公司在安全性上花費的IT預(yù)算比例最低。建筑業(yè)和制造業(yè)在安全方面的支出是最低的�,它們將13%的IT預(yù)算分配給IT部門。鑒于用于應(yīng)對這些風(fēng)險的資源微乎其微�,制造業(yè)廣泛使用的運營基礎(chǔ)設(shè)施受到潛在的破壞性威脅,這一情況令人深感不安�。
三分之一的企業(yè)寧愿支付贖金
NTT公司研究的一個值得注意的發(fā)現(xiàn)是,愿意支付贖金的企業(yè)數(shù)量驚人�。三分之一的受訪者表示,比起投資網(wǎng)絡(luò)安全�,他們更愿意把贖金交給網(wǎng)絡(luò)犯罪分子。他們說�,這樣的成本“更便宜”。這樣的推理既危險又幼稚�,因為這在鼓勵這些網(wǎng)絡(luò)犯罪分子,這也許比最初的支出還高。
這些受訪者表示�,他們寧愿支付贖金,也不愿意不遵守規(guī)定而被罰款�,這表明企業(yè)擔(dān)心不遵守法規(guī)的后果,對一些企業(yè)處理重要監(jiān)管問題和實施強有力的事件應(yīng)對計劃的能力缺乏信心�。這種情況令人擔(dān)憂,因為網(wǎng)絡(luò)犯罪活動日趨復(fù)雜�。事實上,網(wǎng)絡(luò)犯罪正在經(jīng)歷一場工業(yè)化浪潮�,并正在形成一個蓬勃發(fā)展的地下經(jīng)濟,估計每年的收入將超過1.5萬億美元�。此外,一些激進國家正在擴大其網(wǎng)絡(luò)作戰(zhàn)能力�,無論是收集情報,還是破壞關(guān)鍵基礎(chǔ)設(shè)施�。
攻擊和客戶記錄對外泄露的成本已高達數(shù)億美元。最近發(fā)生的此類攻擊的例子包括:萬豪酒店對外泄露了3.83億客戶記錄和超過500萬人的護照號碼�,以及Facebook 5.4億個用戶數(shù)據(jù)泄露。
認為網(wǎng)絡(luò)安全是一項IT任務(wù)
企業(yè)的安保措施協(xié)調(diào)不力可能是由于高層領(lǐng)導(dǎo)不善或知情不足所致�。NTT公司的調(diào)查顯示,84%的受訪者認為網(wǎng)絡(luò)安全應(yīng)該是企業(yè)董事會的問題�,但只有72%的人認為這實際上是董事會的問題。四分之一(23%)的受訪者表示�,他們組織中的某個人(例如首席信息安全官)管理著業(yè)務(wù)日常安全�,但只有13%的受訪者表示此人對網(wǎng)絡(luò)安全負有最終責(zé)任。
在所有受訪者中�,將近一半(45%)受訪者以及57%的企業(yè)高管者表示�,網(wǎng)絡(luò)安全是IT部門面臨的主要問題�。這凸顯了網(wǎng)絡(luò)安全與企業(yè)管理層之間經(jīng)常存在的驚人差距。顯然�,在過去兩年中,盡管一次成功的攻擊可能會產(chǎn)生重大的財務(wù)和法律后果�,但是幾乎沒有什么改變。精明的企業(yè)領(lǐng)導(dǎo)者需要培養(yǎng)不同的思維方式�,以發(fā)現(xiàn)組織數(shù)字化戰(zhàn)略中的風(fēng)險。
結(jié)論
網(wǎng)絡(luò)安全是企業(yè)領(lǐng)導(dǎo)者最關(guān)心的問題�。正是如此,對IT正常運行時間和彈性的依賴從未如此強烈�。但是,企業(yè)董事會需要超越意識和言辭�,而要采取行動,以減少其組織面臨的風(fēng)險�,并確保長期成功。
更加嚴格的監(jiān)管框架和更高的處罰費用正在提高人們對網(wǎng)絡(luò)風(fēng)險的認識�,并提高了企業(yè)的合規(guī)性。但是他們也需要促進企業(yè)治理的發(fā)展�。在模擬時代可能有效的解決方案(例如,安全性取決于IT部門)不再適用�,尤其是在數(shù)字業(yè)務(wù)的收入和利潤以及品牌聲譽受到威脅時。在數(shù)字時代�,幾乎企業(yè)董事會每個決策都會影響企業(yè)的網(wǎng)絡(luò)風(fēng)險態(tài)勢。這就是網(wǎng)絡(luò)安全應(yīng)成為董事會議程中經(jīng)常出現(xiàn)的項目,并根據(jù)更廣泛的風(fēng)險框架對其進行不斷重新評估的原因�。除了這些措施之外,事件響應(yīng)和溝通計劃以及定期的消防演習(xí)至關(guān)重要�。它們是唯一讓企業(yè)在成功的網(wǎng)絡(luò)攻擊之后有機會迅速恢復(fù)的方法。
