93%的受访者承认,由于供应链中的薄弱环节,他们曾遭受过网络攻击,研究表明。过去12个月,平均遭遇的网络攻击次数从2020年的2.7次增加到2021年的3.7次,同比增长37%。这项研究由OpinionMatters进行,采访和调查了美国、加拿大、德国、荷兰、英国和新加坡的1,200名首席信息官、首席信息安全官和首席采购官,他们来自商业服务、金融服务、医疗保健和制药、制造、公用事业和能源以及国防等行业的公司员工人数超过1,000人。许多企业仍然没有优先考虑脆弱的供应链只有13%的企业表示第三方网络风险不是优先事项,低于去年,当时有22%的企业表示供应链和第三方网络风险不是优先事项.组织评估和审计供应商的次数逐年减少:47%的组织每年审计或报告供应商安全的次数不超过两次,而2020年这一比例为32%。38%的受访者表示他们没有办法知道第三方供应商的网络安全何时或是否受到威胁,而去年这一比例为29%。91%的受访者表示,第三方网络风险管理的预算在2021年有所增加,而2020年这一比例为81%。BlueVoyant第三方网络风险管理全球负责人AdamBixler在评论调查结果时说:“虽然我们看到人们对该问题的认识有所提高,但数据泄露及其负面影响仍然高得惊人,而持续监控的普及率仍然低得令人担忧。第三方网络风险只有通过与执行团队和董事会进行清晰和频繁的沟通才能成为战略重点。只要网络风险每年仅讨论一次或两次(或更少)项目,那么从战略角度来看,网络风险管理将继续萎靡不振,直到不可避免地发生数据泄露、阻碍业务运营或使企业陷入困境”企业仍面临与预算增加相关的多个痛点关于预算增加规模的报告几乎与去年的数字完全一致。29%的公司报告说他们的预算增加了26%至50%;42%的公司报告说他们的预算增加了51%到100%,17%的公司报告说增加了100%或更多。总体而言,91%的企业表示他们计划增加预算。但是,目前还不清楚这些不断增加的投资在多大程度上相互协调。接受调查的企业报告了几乎相同比例的痛点:管理误报、管理数据量、确定风险优先级、了解他们的风险状况等等。企业报告这么多问题的事实表明,增加预算并没有显着降低风险。AdamBixler继续说道:“预算的增加表明企业认识到需要在网络安全和供应商风险管理方面进行投资。但是,广泛而一致的痛点表明,这种增加的投资并没有起到应有的作用。这与缺乏可见性、监控和高层报告凸显了在解决第三方网络风险方面缺乏必要的战略和措施,不幸的是,这只会导致更多的违规行为。”不同行业对不同业务部门的反应存在差异调查分析表明,他们在第三方网络风险方面的经验存在很大差异:商业服务在其网络安全或风险团队中拥有最多的员工,因此可以监控第三方风险医疗保健行业对第三方网络风险的意识最高,55%的医疗保健组织表示识别风险是重中之重,而平均这一比例为42%。然而,该行业发生率很高数据泄露事件,29%的医疗机构在过去12个月报告了6-10起数据泄露事件。制造业受访者表示,供应链/第三方网络安全风险通常不被视为关键优先事项,可能仅被报告AdamBixler评论道:“我们的研究表明,垂直领域存在大量未知的第三方网络风险工业、全球供应链和供应商。在哪里投资以产生切实的影响并降低第三方网络风险。缺乏可见性、战略和监控意味着除非给予适当的关注,否则这种情况不太可能得到改善。”BlueVoyant首席执行官吉姆·罗森塔尔(JimRosenthal)总结道:“每隔几周或几个月对供应链进行一次审计或评估不足以领先于敏捷、持久的网络攻击者。持续监控和针对新发现的关键漏洞采取快速行动需要成为有效第三方风险管理的要求。”
