在一項針對22個國家2200多個組織的全球研究中，NTT Security公司為此發布的“2019年風險：價值研究發現”調查報告發現，網絡攻擊(43%)、數據丟失或被盜(37%)以及針對關鍵基礎設施(35%)的攻擊(尤其是針對電信和能源網絡)最受受訪者關注。受訪者認為，這些威脅在未來12個月內為企業帶來的風險將比貿易壁壘和其他重要的全球問題(如環境污染、恐怖主義等)還要大。

 

幸運的是，企業對加強網絡安全必要性的認識正在增強，84%的受訪者認為強大的信息安全與保護數據完整性與業務連續性同樣重要，甚至比收入增長更重要。90%的受訪者表示，強大的網絡安全將給他們的組織帶來福音。

 

 

但是，許多企業都很難維持基本的安全級別。只有58%的企業制定了正式的安全策略，但是只有48%的員工表示知道其中的內容，這意味著只有28%的企業擁有員工可以廣泛理解的安全策略。他們在事件響應計劃中也達不到要求，事件響應計劃規劃了利益相關者在發生安全事件時必須做的事情。只有52%的受訪者表示有這樣的計劃。雖然這個數字比2018年高出3%，但只有57%具有這樣計劃的企業實際上知道其中的內容。其潛在的后果是顯而易見的：如果網絡攻擊對他們進行了攻擊，那些不熟悉自己計劃的企業將難以應對該事件，并且，如果他們設法解決該事件，則將需要更長的時間來恢復。

 

 

除了計劃上的不足之外，有的企業沒有跟上IT依賴性和風險的不斷增長。平均而言，企業IT預算中有15%用于安全性，但歸因于安全性的運營預算所占份額自去年以來已下降至16%。這令人不安，尤其是由于新興的物聯網(IoT)和網絡連接的操作技術(例如工業4.0)使攻擊面呈指數增長。

 

德國(14%)和瑞士(12%)的公司在安全性上花費的IT預算比例最低。建筑業和制造業在安全方面的支出是最低的，它們將13%的IT預算分配給IT部門。鑒于用于應對這些風險的資源微乎其微，制造業廣泛使用的運營基礎設施受到潛在的破壞性威脅，這一情況令人深感不安。

 

 

NTT公司研究的一個值得注意的發現是，愿意支付贖金的企業數量驚人。三分之一的受訪者表示，比起投資網絡安全，他們更愿意把贖金交給網絡犯罪分子。他們說，這樣的成本“更便宜”。這樣的推理既危險又幼稚，因為這在鼓勵這些網絡犯罪分子，這也許比最初的支出還高。

 

這些受訪者表示，他們寧愿支付贖金，也不愿意不遵守規定而被罰款，這表明企業擔心不遵守法規的后果，對一些企業處理重要監管問題和實施強有力的事件應對計劃的能力缺乏信心。這種情況令人擔憂，因為網絡犯罪活動日趨復雜。事實上，網絡犯罪正在經歷一場工業化浪潮，并正在形成一個蓬勃發展的地下經濟，估計每年的收入將超過1.5萬億美元。此外，一些激進國家正在擴大其網絡作戰能力，無論是收集情報，還是破壞關鍵基礎設施。

 

攻擊和客戶記錄對外泄露的成本已高達數億美元。最近發生的此類攻擊的例子包括：萬豪酒店對外泄露了3.83億客戶記錄和超過500萬人的護照號碼，以及Facebook 5.4億個用戶數據泄露。

 

 

企業的安保措施協調不力可能是由于高層領導不善或知情不足所致。NTT公司的調查顯示，84%的受訪者認為網絡安全應該是企業董事會的問題，但只有72%的人認為這實際上是董事會的問題。四分之一(23%)的受訪者表示，他們組織中的某個人(例如首席信息安全官)管理著業務日常安全，但只有13%的受訪者表示此人對網絡安全負有最終責任。

 

在所有受訪者中，將近一半(45%)受訪者以及57%的企業高管者表示，網絡安全是IT部門面臨的主要問題。這凸顯了網絡安全與企業管理層之間經常存在的驚人差距。顯然，在過去兩年中，盡管一次成功的攻擊可能會產生重大的財務和法律后果，但是幾乎沒有什么改變。精明的企業領導者需要培養不同的思維方式，以發現組織數字化戰略中的風險。

 

 

網絡安全是企業領導者最關心的問題。正是如此，對IT正常運行時間和彈性的依賴從未如此強烈。但是，企業董事會需要超越意識和言辭，而要采取行動，以減少其組織面臨的風險，并確保長期成功。

 

更加嚴格的監管框架和更高的處罰費用正在提高人們對網絡風險的認識，并提高了企業的合規性。但是他們也需要促進企業治理的發展。在模擬時代可能有效的解決方案(例如，安全性取決于IT部門)不再適用，尤其是在數字業務的收入和利潤以及品牌聲譽受到威脅時。在數字時代，幾乎企業董事會每個決策都會影響企業的網絡風險態勢。這就是網絡安全應成為董事會議程中經常出現的項目，并根據更廣泛的風險框架對其進行不斷重新評估的原因。除了這些措施之外，事件響應和溝通計劃以及定期的消防演習至關重要。它們是唯一讓企業在成功的網絡攻擊之后有機會迅速恢復的方法。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。