信息來源:企業(yè)網(wǎng)D1Net
企業(yè)需要意識(shí)到網(wǎng)絡(luò)風(fēng)險(xiǎn)的嚴(yán)重性,但通常缺乏建立彈性的應(yīng)對(duì)措施。
在一項(xiàng)針對(duì)22個(gè)國家2200多個(gè)組織的全球研究中,NTT Security公司為此發(fā)布的“2019年風(fēng)險(xiǎn):價(jià)值研究發(fā)現(xiàn)”調(diào)查報(bào)告發(fā)現(xiàn),網(wǎng)絡(luò)攻擊(43%)、數(shù)據(jù)丟失或被盜(37%)以及針對(duì)關(guān)鍵基礎(chǔ)設(shè)施(35%)的攻擊(尤其是針對(duì)電信和能源網(wǎng)絡(luò))最受受訪者關(guān)注。受訪者認(rèn)為,這些威脅在未來12個(gè)月內(nèi)為企業(yè)帶來的風(fēng)險(xiǎn)將比貿(mào)易壁壘和其他重要的全球問題(如環(huán)境污染、恐怖主義等)還要大。
幸運(yùn)的是,企業(yè)對(duì)加強(qiáng)網(wǎng)絡(luò)安全必要性的認(rèn)識(shí)正在增強(qiáng),84%的受訪者認(rèn)為強(qiáng)大的信息安全與保護(hù)數(shù)據(jù)完整性與業(yè)務(wù)連續(xù)性同樣重要,甚至比收入增長更重要。90%的受訪者表示,強(qiáng)大的網(wǎng)絡(luò)安全將給他們的組織帶來福音。
網(wǎng)絡(luò)安全政策和事件響應(yīng)計(jì)劃缺失
但是,許多企業(yè)都很難維持基本的安全級(jí)別。只有58%的企業(yè)制定了正式的安全策略,但是只有48%的員工表示知道其中的內(nèi)容,這意味著只有28%的企業(yè)擁有員工可以廣泛理解的安全策略。他們?cè)谑录憫?yīng)計(jì)劃中也達(dá)不到要求,事件響應(yīng)計(jì)劃規(guī)劃了利益相關(guān)者在發(fā)生安全事件時(shí)必須做的事情。只有52%的受訪者表示有這樣的計(jì)劃。雖然這個(gè)數(shù)字比2018年高出3%,但只有57%具有這樣計(jì)劃的企業(yè)實(shí)際上知道其中的內(nèi)容。其潛在的后果是顯而易見的:如果網(wǎng)絡(luò)攻擊對(duì)他們進(jìn)行了攻擊,那些不熟悉自己計(jì)劃的企業(yè)將難以應(yīng)對(duì)該事件,并且,如果他們?cè)O(shè)法解決該事件,則將需要更長的時(shí)間來恢復(fù)。
盡管風(fēng)險(xiǎn)增加,但安全預(yù)算保持不變
除了計(jì)劃上的不足之外,有的企業(yè)沒有跟上IT依賴性和風(fēng)險(xiǎn)的不斷增長。平均而言,企業(yè)IT預(yù)算中有15%用于安全性,但歸因于安全性的運(yùn)營預(yù)算所占份額自去年以來已下降至16%。這令人不安,尤其是由于新興的物聯(lián)網(wǎng)(IoT)和網(wǎng)絡(luò)連接的操作技術(shù)(例如工業(yè)4.0)使攻擊面呈指數(shù)增長。
德國(14%)和瑞士(12%)的公司在安全性上花費(fèi)的IT預(yù)算比例最低。建筑業(yè)和制造業(yè)在安全方面的支出是最低的,它們將13%的IT預(yù)算分配給IT部門。鑒于用于應(yīng)對(duì)這些風(fēng)險(xiǎn)的資源微乎其微,制造業(yè)廣泛使用的運(yùn)營基礎(chǔ)設(shè)施受到潛在的破壞性威脅,這一情況令人深感不安。
三分之一的企業(yè)寧愿支付贖金
NTT公司研究的一個(gè)值得注意的發(fā)現(xiàn)是,愿意支付贖金的企業(yè)數(shù)量驚人。三分之一的受訪者表示,比起投資網(wǎng)絡(luò)安全,他們更愿意把贖金交給網(wǎng)絡(luò)犯罪分子。他們說,這樣的成本“更便宜”。這樣的推理既危險(xiǎn)又幼稚,因?yàn)檫@在鼓勵(lì)這些網(wǎng)絡(luò)犯罪分子,這也許比最初的支出還高。
這些受訪者表示,他們寧愿支付贖金,也不愿意不遵守規(guī)定而被罰款,這表明企業(yè)擔(dān)心不遵守法規(guī)的后果,對(duì)一些企業(yè)處理重要監(jiān)管問題和實(shí)施強(qiáng)有力的事件應(yīng)對(duì)計(jì)劃的能力缺乏信心。這種情況令人擔(dān)憂,因?yàn)榫W(wǎng)絡(luò)犯罪活動(dòng)日趨復(fù)雜。事實(shí)上,網(wǎng)絡(luò)犯罪正在經(jīng)歷一場(chǎng)工業(yè)化浪潮,并正在形成一個(gè)蓬勃發(fā)展的地下經(jīng)濟(jì),估計(jì)每年的收入將超過1.5萬億美元。此外,一些激進(jìn)國家正在擴(kuò)大其網(wǎng)絡(luò)作戰(zhàn)能力,無論是收集情報(bào),還是破壞關(guān)鍵基礎(chǔ)設(shè)施。
攻擊和客戶記錄對(duì)外泄露的成本已高達(dá)數(shù)億美元。最近發(fā)生的此類攻擊的例子包括:萬豪酒店對(duì)外泄露了3.83億客戶記錄和超過500萬人的護(hù)照號(hào)碼,以及Facebook 5.4億個(gè)用戶數(shù)據(jù)泄露。
認(rèn)為網(wǎng)絡(luò)安全是一項(xiàng)IT任務(wù)
企業(yè)的安保措施協(xié)調(diào)不力可能是由于高層領(lǐng)導(dǎo)不善或知情不足所致。NTT公司的調(diào)查顯示,84%的受訪者認(rèn)為網(wǎng)絡(luò)安全應(yīng)該是企業(yè)董事會(huì)的問題,但只有72%的人認(rèn)為這實(shí)際上是董事會(huì)的問題。四分之一(23%)的受訪者表示,他們組織中的某個(gè)人(例如首席信息安全官)管理著業(yè)務(wù)日常安全,但只有13%的受訪者表示此人對(duì)網(wǎng)絡(luò)安全負(fù)有最終責(zé)任。
在所有受訪者中,將近一半(45%)受訪者以及57%的企業(yè)高管者表示,網(wǎng)絡(luò)安全是IT部門面臨的主要問題。這凸顯了網(wǎng)絡(luò)安全與企業(yè)管理層之間經(jīng)常存在的驚人差距。顯然,在過去兩年中,盡管一次成功的攻擊可能會(huì)產(chǎn)生重大的財(cái)務(wù)和法律后果,但是幾乎沒有什么改變。精明的企業(yè)領(lǐng)導(dǎo)者需要培養(yǎng)不同的思維方式,以發(fā)現(xiàn)組織數(shù)字化戰(zhàn)略中的風(fēng)險(xiǎn)。
結(jié)論
網(wǎng)絡(luò)安全是企業(yè)領(lǐng)導(dǎo)者最關(guān)心的問題。正是如此,對(duì)IT正常運(yùn)行時(shí)間和彈性的依賴從未如此強(qiáng)烈。但是,企業(yè)董事會(huì)需要超越意識(shí)和言辭,而要采取行動(dòng),以減少其組織面臨的風(fēng)險(xiǎn),并確保長期成功。
更加嚴(yán)格的監(jiān)管框架和更高的處罰費(fèi)用正在提高人們對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的認(rèn)識(shí),并提高了企業(yè)的合規(guī)性。但是他們也需要促進(jìn)企業(yè)治理的發(fā)展。在模擬時(shí)代可能有效的解決方案(例如,安全性取決于IT部門)不再適用,尤其是在數(shù)字業(yè)務(wù)的收入和利潤以及品牌聲譽(yù)受到威脅時(shí)。在數(shù)字時(shí)代,幾乎企業(yè)董事會(huì)每個(gè)決策都會(huì)影響企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)。這就是網(wǎng)絡(luò)安全應(yīng)成為董事會(huì)議程中經(jīng)常出現(xiàn)的項(xiàng)目,并根據(jù)更廣泛的風(fēng)險(xiǎn)框架對(duì)其進(jìn)行不斷重新評(píng)估的原因。除了這些措施之外,事件響應(yīng)和溝通計(jì)劃以及定期的消防演習(xí)至關(guān)重要。它們是唯一讓企業(yè)在成功的網(wǎng)絡(luò)攻擊之后有機(jī)會(huì)迅速恢復(fù)的方法。