信息来源:企业网D1Net
企业需要意识到网络风险的严重性,但通常缺乏建立弹性的应对措施。
在一项针对22个国家2200多个组织的全球研究中,NTT Security公司为此发布的“2019年风险:价值研究发现”调查报告发现,网络攻击(43%)、数据丢失或被盗(37%)以及针对关键基础设施(35%)的攻击(尤其是针对电信和能源网络)最受受访者关注。受访者认为,这些威胁在未来12个月内为企业带来的风险将比贸易壁垒和其他重要的全球问题(如环境污染、恐怖主义等)还要大。
幸运的是,企业对加强网络安全必要性的认识正在增强,84%的受访者认为强大的信息安全与保护数据完整性与业务连续性同样重要,甚至比收入增长更重要。90%的受访者表示,强大的网络安全将给他们的组织带来福音。
网络安全政策和事件响应计划缺失
但是,许多企业都很难维持基本的安全级别。只有58%的企业制定了正式的安全策略,但是只有48%的员工表示知道其中的内容,这意味着只有28%的企业拥有员工可以广泛理解的安全策略。他们在事件响应计划中也达不到要求,事件响应计划规划了利益相关者在发生安全事件时必须做的事情。只有52%的受访者表示有这样的计划。虽然这个数字比2018年高出3%,但只有57%具有这样计划的企业实际上知道其中的内容。其潜在的后果是显而易见的:如果网络攻击对他们进行了攻击,那些不熟悉自己计划的企业将难以应对该事件,并且,如果他们设法解决该事件,则将需要更长的时间来恢复。
尽管风险增加,但安全预算保持不变
除了计划上的不足之外,有的企业没有跟上IT依赖性和风险的不断增长。平均而言,企业IT预算中有15%用于安全性,但归因于安全性的运营预算所占份额自去年以来已下降至16%。这令人不安,尤其是由于新兴的物联网(IoT)和网络连接的操作技术(例如工业4.0)使攻击面呈指数增长。
德国(14%)和瑞士(12%)的公司在安全性上花费的IT预算比例最低。建筑业和制造业在安全方面的支出是最低的,它们将13%的IT预算分配给IT部门。鉴于用于应对这些风险的资源微乎其微,制造业广泛使用的运营基础设施受到潜在的破坏性威胁,这一情况令人深感不安。
三分之一的企业宁愿支付赎金
NTT公司研究的一个值得注意的发现是,愿意支付赎金的企业数量惊人。三分之一的受访者表示,比起投资网络安全,他们更愿意把赎金交给网络犯罪分子。他们说,这样的成本“更便宜”。这样的推理既危险又幼稚,因为这在鼓励这些网络犯罪分子,这也许比最初的支出还高。
这些受访者表示,他们宁愿支付赎金,也不愿意不遵守规定而被罚款,这表明企业担心不遵守法规的后果,对一些企业处理重要监管问题和实施强有力的事件应对计划的能力缺乏信心。这种情况令人担忧,因为网络犯罪活动日趋复杂。事实上,网络犯罪正在经历一场工业化浪潮,并正在形成一个蓬勃发展的地下经济,估计每年的收入将超过1.5万亿美元。此外,一些激进国家正在扩大其网络作战能力,无论是收集情报,还是破坏关键基础设施。
攻击和客户记录对外泄露的成本已高达数亿美元。最近发生的此类攻击的例子包括:万豪酒店对外泄露了3.83亿客户记录和超过500万人的护照号码,以及Facebook 5.4亿个用户数据泄露。
认为网络安全是一项IT任务
企业的安保措施协调不力可能是由于高层领导不善或知情不足所致。NTT公司的调查显示,84%的受访者认为网络安全应该是企业董事会的问题,但只有72%的人认为这实际上是董事会的问题。四分之一(23%)的受访者表示,他们组织中的某个人(例如首席信息安全官)管理着业务日常安全,但只有13%的受访者表示此人对网络安全负有最终责任。
在所有受访者中,将近一半(45%)受访者以及57%的企业高管者表示,网络安全是IT部门面临的主要问题。这凸显了网络安全与企业管理层之间经常存在的惊人差距。显然,在过去两年中,尽管一次成功的攻击可能会产生重大的财务和法律后果,但是几乎没有什么改变。精明的企业领导者需要培养不同的思维方式,以发现组织数字化战略中的风险。
结论
网络安全是企业领导者最关心的问题。正是如此,对IT正常运行时间和弹性的依赖从未如此强烈。但是,企业董事会需要超越意识和言辞,而要采取行动,以减少其组织面临的风险,并确保长期成功。
更加严格的监管框架和更高的处罚费用正在提高人们对网络风险的认识,并提高了企业的合规性。但是他们也需要促进企业治理的发展。在模拟时代可能有效的解决方案(例如,安全性取决于IT部门)不再适用,尤其是在数字业务的收入和利润以及品牌声誉受到威胁时。在数字时代,几乎企业董事会每个决策都会影响企业的网络风险态势。这就是网络安全应成为董事会议程中经常出现的项目,并根据更广泛的风险框架对其进行不断重新评估的原因。除了这些措施之外,事件响应和沟通计划以及定期的消防演习至关重要。它们是唯一让企业在成功的网络攻击之后有机会迅速恢复的方法。