公司认识到网络风险的规模,但缺乏建立弹性的对策。NTTSecurity对全球22个不同国家的2,200家公司进行了调查。其2019年《风险:价值》报告指出:网络攻击(43%)、数据丢失或被盗(37%)和对电信和能源网络基础设施的主要威胁攻击(35%)是受访者最关心的问题。他们认为,这些威胁将在来年给他们的公司带来更大的风险,超越贸易壁垒和其他重大全球事件,如环境问题、恐怖主义和政府失灵。幸运的是,企业逐渐意识到加强网络安全的必要性。分别有84%和85%的公司表示加强信息安全和保护数据完整性与业务连续性同等重要,甚至比盈利增长更重要。90%的受访者认为强大的网络安全对他们的公司有利。不完善的网络安全政策和事件响应计划然而,许多公司甚至无法维持基本的安全水平。只有58%的受访者制定了正式的安全政策,其中只有48%的人表示他们的员工知道其中包含的内容,这意味着只有28%的公司拥有员工广泛理解的安全政策。事件响应计划描述了利益相关者在发生安全事件时应采取的行动,这也是受访公司的一大弱点。只有52%的受访者制定了事件响应计划。只有57%的受访公司让员工真正了解响应计划的内容——尽管这比2018年高出3%。潜在后果很明显:如果他们要经历一次成功的网络攻击,这些公司的不熟悉按照他们的计划,事件将很难处理,如果他们偶然发现,则需要更长的时间才能恢复。风险总是在增加,但安全预算却停滞不前。除了规划方面的缺陷外,公司还没有跟上日益增长的IT依赖性和风险。平均而言,15%的IT预算用于安全,但自去年以来,用于安全的运营预算百分比已下降至16%。这很麻烦,尤其是在物联网(IoT)和互联运营技术(如工业4.0)的激增导致攻击面呈指数级增长的情况下。德国(14%)和瑞士(12%)的公司分配给安全的IT预算最少。建筑和制造业在安全方面的支出最少,只有13%的IT预算分配给安全。考虑到用于解决风险的资源非常少,在制造业广泛使用的运营基础设施中引入破坏性威胁的可能性相当令人不安。每3家公司中就有1家宁愿支付赎金NTT研究的一个显着发现是愿意支付赎金的公司数量惊人。三分之一的受访者宁愿将赎金交给犯罪分子,也不愿投资于网络安全。“这样更便宜,”他们声称。这种想法既危险又幼稚,因为它只会鼓励坏人再来,而且胃口可能比第一次更大。同样百分比的受访者表示他们宁愿支付赎金也不愿因违规而受到惩罚,这表明他们担心违规的后果以及对他们处理重要监管问题和实施强有力的事件响应的能力缺乏信心计划。这种情况令人担忧,因为网络犯罪分子越来越狡猾。事实上,网络犯罪正在经历一波产业化浪潮,大规模的犯罪集团形成了一个蓬勃发展的地下经济,估计每年超过1.5万亿美元。一些民族国家正在扩大其网络战能力,例如收集情报、破坏关键基础设施或帮助当地经济。网络攻击和客户记录泄露的成本已高达数十亿美元。例如,万豪酒店最近泄露了3.83亿条客户记录和超过500万个护照号码,Facebook也暴露了5.4亿条客户数据。高管将网络安全视为一项IT任务安全措施协调不力可能源于高层领导不力或盲目。NTT调查研究显示,84%的受访者表示他们认为网络安全应该成为董事会的一个问题,但只有72%的受访者表示确实如此。四分之一(23%)的受访者表示,他们公司内部有人负责管理日常安全(例如CISO),但只有13%的人表示该人对网络安全负有最终责任。近一半(45%)的受访者和超过一半(57%)的最高管理层受访者认为网络安全是IT部门的问题。这凸显了网络安全与高管之间经常存在的认知差距。很明显,过去两年情况几乎没有变化,即使是一次成功的攻击也会产生重大的经济和法律后果。聪明的商业领袖需要培养不同的企业思维,并在自己的企业数字战略中识别风险。结论网络安全是企业领导者的首要任务。事实上,因为对IT正常运行时间和弹性的依赖从未如此强烈。但企业董事会应该超越意识和言辞,采取行动有效降低企业风险敞口并确保长期成功。更严格的监管框架和更高的违规罚款正在推动整个企业对网络风险和合规需求的认识。但也需要刺激公司治理的演变。在模拟时代行之有效的解决方案,例如简单地将安全置于IT之下,已经不够了,尤其是当来自数字运营的收入和利润以及品牌声誉受到威胁时。在数字时代,几乎每个董事会决策都会影响组织的网络风险态势。这就是为什么网络安全应该成为董事会议程上的常规项目,以及为什么它应该在更广泛的风险框架内不断重新评估。最关键的是事件响应和沟通计划,以及频繁的演练。这些措施是企业在遭受成功的网络攻击后有机会快速恢复的唯一途径。
