企业认识到了网络风险规模,却缺乏可构筑弹性的对策。
NTT Security 对全球 22 个不同国家的 2,200 家企业进行了调查研究,其 2019《风险:价值》报告中指出:网络攻击 (43%)、数据遗失或被盗 (37%) 和针对电信及能源网络的关键基础设施攻击 (35%),是受访者最为担忧的。他们认为这些威胁将在未来一年内给自家企业带来更大风险,危害程度超出贸易壁垒和其他重大全球性事件,比如环境问题、恐怖主义和政府措施失效。
幸运的是,企业逐渐意识到了强化网络安全的需求。84% 和 85% 的公司企业分别表示,强化信息安全和保护数据完整性,与业务连续性同等重要,甚至超出盈利增长的重要性。90% 的受访者认为强网络安全有益于自己的公司。
网络安全策略与事件响应计划缺失
然而,很多公司企业甚至连基本的安全水平都维持不好。仅 58% 的受访者设置有正式的安全策略,且其中仅 48% 称其员工知道该安全策略的内容,意味着仅 28% 的公司拥有员工广为理解的安全策略。事件响应计划描述发生安全事件时利益相关者应采取的行动,这也是受访公司企业的一大短板。仅 52% 的受访者设置有事件响应计划。其中又仅 57% 的受访公司其员工切实知晓响应计划的内容——虽然比 2018 年高了 3%。潜在后果很明显:如果他们遭遇成功的网络攻击,这些企业对自身计划的不熟悉将会导致事件处理举步维艰,即便跌跌撞撞蒙混过关,也会耗费更长的时间恢复。
风险一直增加,安全预算却原地踏步
除了规划上的短板,公司企业还没跟上不断增长的 IT 依赖与风险。平均来看,15% 的 IT 预算导向安全,但自去年开始,归于安全的运营预算却降到了 16%。这就很麻烦了,尤其是在物联网 (IoT) 和联网运营技术(如工业 4.0)激增导致攻击界面指数级增长的情况下。
德国 (14%) 和瑞士 (12%) 的公司分给安全的 IT 预算占比最少。建筑和制造行业花在安全上的开支最少,IT 预算中仅 13% 分配给了安全。考虑到投入应对风险的资源如此微不足道,制造行业广为使用的运营基础设施中引入的潜在破坏性威胁就相当令人头痛了。
1/3 的公司宁可支付赎金
NTT 研究中值得注意的一项发现是愿意支付赎金的公司数量令人惊讶。1/3 的受访者宁愿向罪犯交出赎金,也不愿投资网络安全。他们声称:“这样更便宜。” 这种想法既危险又天真,因为这只会鼓励坏人再次前来,胃口还可能比第一次大。
同样比例的受访者称宁愿支付赎金也不愿因违规而受罚,暴露出对违规后果的恐惧,和对处理重要监管问题及实现健壮事件响应计划能力的自信匮乏。这一状况令人担忧,因为网络罪犯是日渐精进的。事实上,网络犯罪正在经历工业化浪潮,大规模犯罪集团结成繁荣地下经济,估计年产值甚至超 1.5 万亿美元之多。而且一些民族国家正在扩张其网络战能力,比如收集情报、破坏关键基础设施,或者帮助其本地经济。
网络攻击和客户记录泄露的开销已上亿。例如最近万豪酒店就泄露了 3.83 亿客户记录和超 500 万护照号,Facebook 也曝光了 5.4 亿客户数据。
高管认为网络安全是 IT 任务
安全措施协调性差可能源于欠佳或耳目闭塞的高层领导。NTT 调查研究揭示,84% 的受访者称他们认为网络安全应该是董事会议题,但仅 72% 的受访者称确实是董事会议题。1/4 (23%) 的受访者称公司内有人负责管理日常安全(比如 CISO),但仅 13% 的受访者称此人对网络安全负有最终责任。
全部受访者中近半数 (45%),首席级高管受访者中超过一半的人 (57%),认为网络安全是 IT 部门的问题。这凸显出了网络安全和高管间常常存在的认知缺口。很明显,过去两年间情况几乎一成不变,即使一次成功攻击即可造成重大经济和法律后果。聪明的企业领导需培育不一样的企业思维,甄别出自家企业数字策略中的风险。
结语
网络安全是企业领导的首要考虑。确实如此,因为对 IT 正常运转时间和弹性的依赖从未如此巨大。但是企业董事会应超越意识和言辞,落实到行动上,切实减少企业风险暴露面,确保长期成功。
更严格的监管框架和更高的违规罚款,正激发整个企业的网络风险意识和对合规的需求。但还需刺激企业治理的进化发展。模拟时代行之有效的解决方案(比如简单地将安全置于 IT 之下)已不在足够,特别是当来自数字运营和品牌声誉的收入和利润利害攸关的时候。数字时代,几乎每个董事会决策都将影响企业网络风险态势。这正是为什么网络安全应是董事会议程表上常规事项的原因,也是网络安全应在更广泛风险框架下不断重新评估的原因所在。而最为关键的,是事件响应与沟通计划,以及经常性演练。这些措施是企业有机会在遭遇成功网络攻击后快速恢复的唯一方法。
NTT Security 2019《风险:价值》报告:
下一篇:漏洞管理项目最佳实践