近日�,英國(guó)科學(xué)技術(shù)部發(fā)布了《2023年企業(yè)網(wǎng)絡(luò)安全合規(guī)調(diào)查報(bào)告》( Cyber Security Breaches Survey ),對(duì)英國(guó)所有企業(yè)和社會(huì)性組織目前的網(wǎng)絡(luò)威脅態(tài)勢(shì)和合規(guī)建設(shè)進(jìn)行研究�,同時(shí)也就如何提升新一代網(wǎng)絡(luò)應(yīng)用的合規(guī)性給出專業(yè)性建議��。研究人員發(fā)現(xiàn)����,由于當(dāng)前不利的經(jīng)濟(jì)環(huán)境����,英國(guó)很多中小型企業(yè)及組織的管理者開始降低對(duì)網(wǎng)絡(luò)安全的重視度,有29%的受訪企業(yè)/組織表示不會(huì)將保障網(wǎng)絡(luò)應(yīng)用合規(guī)與安全作為其優(yōu)先處理的事項(xiàng)���。
成都創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)����,包含不限于成都網(wǎng)站設(shè)計(jì)�����、做網(wǎng)站�����、雨花臺(tái)網(wǎng)絡(luò)推廣、成都小程序開發(fā)�����、雨花臺(tái)網(wǎng)絡(luò)營(yíng)銷���、雨花臺(tái)企業(yè)策劃��、雨花臺(tái)品牌公關(guān)、搜索引擎seo���、人物專訪��、企業(yè)宣傳片��、企業(yè)代運(yùn)營(yíng)等����,從售前售中售后����,我們都將竭誠(chéng)為您服務(wù),您的肯定����,是我們最大的嘉獎(jiǎng)����;成都創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供雨花臺(tái)建站搭建服務(wù)��,24小時(shí)服務(wù)熱線:028-86922220����,官方網(wǎng)址:www.cdcxhl.com
報(bào)告研究認(rèn)為,由于網(wǎng)絡(luò)應(yīng)用違規(guī)導(dǎo)致的安全攻擊仍然是企業(yè)組織面臨的主要威脅之一�。與去年相比,中小型企業(yè)組織所報(bào)告的攻擊和違規(guī)數(shù)量有所減少�,但是這并非意味著企業(yè)組織的安全態(tài)勢(shì)開始好轉(zhuǎn),而是可能反映出��,一些企業(yè)的高級(jí)管理者降低了對(duì)網(wǎng)絡(luò)安全的重視度���,因此縮減了對(duì)違規(guī)網(wǎng)絡(luò)應(yīng)用或安全攻擊活動(dòng)的監(jiān)控要求���。
- 研究發(fā)現(xiàn),32%的受訪中小型企業(yè)組織表示過去12個(gè)月發(fā)生過數(shù)據(jù)泄密或安全攻擊事件����,相比中型企業(yè)(59%)和大型企業(yè)(69%)的調(diào)研比例要低得多�;
- 研究發(fā)現(xiàn)�����,英國(guó)企業(yè)所報(bào)告的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件同比下降����,這種下降趨勢(shì)主要是由中小型企業(yè)推動(dòng)的,而大中型企業(yè)的調(diào)研結(jié)果與去年基本持平�;
- 研究人員認(rèn)為,在過去12個(gè)月里����,所有企業(yè)的網(wǎng)絡(luò)應(yīng)用違規(guī)行為平均成本約為1100英鎊��;而大中型企業(yè)的平均成本為4960英鎊�����;
- 研究發(fā)現(xiàn)�����,將網(wǎng)絡(luò)安全列為優(yōu)先事項(xiàng)的組織比例已從2022年的82%下降到今年的71%���。數(shù)據(jù)表明�,相對(duì)于通脹和不確定性等廣泛的經(jīng)濟(jì)發(fā)展問題,網(wǎng)絡(luò)安全在中小型企業(yè)組織中的優(yōu)先級(jí)排序已經(jīng)下降����,有29%的企業(yè)認(rèn)為網(wǎng)絡(luò)安全工作是不需要優(yōu)先處理的事務(wù)。
【網(wǎng)絡(luò)安全優(yōu)先級(jí)在企業(yè)中的變化趨勢(shì)】
企業(yè)網(wǎng)絡(luò)衛(wèi)生能力狀況
最常見的網(wǎng)絡(luò)威脅通常相對(duì)簡(jiǎn)單��,因此報(bào)告研究人員建議企業(yè)采用一套標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全措施來滿足基礎(chǔ)性的防護(hù)要求�����。這些措施中最常見的手段包括更新惡意軟件補(bǔ)丁���、云備份�、密碼應(yīng)用�����、權(quán)限管理和部署防火墻�����。然而���,在近三年的調(diào)查中��,企業(yè)在某些領(lǐng)域的網(wǎng)絡(luò)衛(wèi)生水平呈現(xiàn)持續(xù)下降的態(tài)勢(shì)����,主要包括:
- 是否使用了密碼管理策略(2021年為79%,2023年為70%)����;
- 是否使用了網(wǎng)絡(luò)防火墻(2021年為78%,2023年為66%)�����;
- 是否進(jìn)行了統(tǒng)一的身份和權(quán)限管理(2021年為75%���,2023年為67%)�����;
- 是否會(huì)在14天內(nèi)進(jìn)行應(yīng)用軟件的安全更新與補(bǔ)丁修復(fù)(2021年為43%,2023年為31%)��。
盡管這些趨勢(shì)主要是由于中小型企業(yè)的網(wǎng)絡(luò)安全應(yīng)用變化所引起����,但是未來大型企業(yè)的合規(guī)態(tài)勢(shì)發(fā)展同樣值得高度關(guān)注���。研究發(fā)現(xiàn),大型企業(yè)組織相比中小型企業(yè)���,董事會(huì)成員會(huì)更多參與公司的網(wǎng)絡(luò)安全治理工作�����,并且管理方法相比中小企業(yè)更為復(fù)雜�����,同時(shí)大型企業(yè)所報(bào)告的網(wǎng)絡(luò)風(fēng)險(xiǎn)也更少�。
- 研究發(fā)現(xiàn)�����,近30%的受訪企業(yè)表示��,其董事會(huì)成員或受托人會(huì)直接參與網(wǎng)絡(luò)安全管理工作�����,這一比例在中型企業(yè)和大型企業(yè)中分別升至41%和53%;
- 21%的中型企業(yè)和30%的大型企業(yè)聽說過NCSC的董事會(huì)安全監(jiān)管工具包(Board Toolkit)�����,這一比例在2020年(該工具包推出時(shí))分別為11%和22%�;
- 49%的中型企業(yè)、68%的大型企業(yè)和36%的高收入慈善機(jī)構(gòu)制定了正式的網(wǎng)絡(luò)安全戰(zhàn)略�。數(shù)據(jù)表明,制定該戰(zhàn)略的主要推動(dòng)因素來自政府監(jiān)管部門的壓力�、審計(jì)和商業(yè)并購(gòu)活動(dòng)。它也與網(wǎng)絡(luò)安全團(tuán)隊(duì)獲得運(yùn)營(yíng)獨(dú)立性(例如從IT部門分割出來)的調(diào)研數(shù)據(jù)高度吻合���;
【制定網(wǎng)絡(luò)安全戰(zhàn)略的企業(yè)比例】
- 研究發(fā)現(xiàn)����,阻礙了董事會(huì)更多地參與網(wǎng)絡(luò)安全工作的主要因素包括:缺乏知識(shí)��、培訓(xùn)和時(shí)間�。這凸顯了網(wǎng)絡(luò)安全人員在如何說明網(wǎng)絡(luò)安全支出的必要性時(shí),會(huì)面臨較大的挑戰(zhàn)�。
第三方安全認(rèn)證和指導(dǎo)
報(bào)告研究發(fā)現(xiàn)�,目前尋求外部網(wǎng)絡(luò)安全指導(dǎo)的英國(guó)企業(yè)比例保持穩(wěn)定。然而,仍然有大量的企業(yè)組織���,包括一些大型企業(yè)�����,沒有積極按照政府監(jiān)管機(jī)構(gòu)給出的網(wǎng)絡(luò)安全建設(shè)指導(dǎo)方針開展安全建設(shè)����,如網(wǎng)絡(luò)安全建設(shè)指南����,以及政府認(rèn)可的Cyber Essentials標(biāo)準(zhǔn)或ISO 27001。
- 49%的受訪企業(yè)組織表示���,在過去的一年里��,他們從外部第三方機(jī)構(gòu)尋求網(wǎng)絡(luò)安全方面的信息或指導(dǎo)�����,最常見的是網(wǎng)絡(luò)安全咨詢顧問和IT審計(jì)服務(wù)�;
【尋求外部網(wǎng)絡(luò)安全指導(dǎo)的企業(yè)比例】
- 僅有14%的受訪企業(yè)知道“Cyber Essentials”網(wǎng)絡(luò)基本評(píng)估計(jì)劃��,而中型企業(yè)和大型企業(yè)的調(diào)研比例分別為50%和59%;
【了解Cyber Essentials計(jì)劃的企業(yè)比例】
- 只有9%的企業(yè)報(bào)告遵守了ISO 27001���,而在大型企業(yè)中�����,這一比例會(huì)更高(27%)�����;
【遵守PCI DSS�����、ISO 27001和NIST標(biāo)準(zhǔn)的企業(yè)比例】
- 調(diào)查結(jié)果表明�,企業(yè)尋求外部認(rèn)證的主要因素可能源于其客戶的要求�。對(duì)于組織來說,使用第三方安全服務(wù)是一種便利的方式�,可以快速生成一套關(guān)于其網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的標(biāo)準(zhǔn)化文檔,并加速其員工的網(wǎng)絡(luò)安全意識(shí)培養(yǎng)����。
網(wǎng)絡(luò)安全事件響應(yīng)
報(bào)告研究發(fā)現(xiàn),雖然絕大多數(shù)受訪企業(yè)組織表示��,他們會(huì)在網(wǎng)絡(luò)安全事件發(fā)生后采取行動(dòng)進(jìn)行響應(yīng)和補(bǔ)救,但實(shí)際上�,只有少數(shù)組織已經(jīng)提前制定了支持這一行動(dòng)的事件響應(yīng)計(jì)劃和流程����。對(duì)大多數(shù)企業(yè)組織而言,如果提升其網(wǎng)絡(luò)安全事件響應(yīng)能力是一個(gè)需要持續(xù)改進(jìn)的領(lǐng)域�����。
- 近40%的受訪企業(yè)和機(jī)構(gòu)表示���,最常見的網(wǎng)絡(luò)安全事件響應(yīng)流程就是為個(gè)人分配特定的角色和責(zé)任�,并對(duì)外部報(bào)告和內(nèi)部報(bào)告進(jìn)行指導(dǎo)�����;
- 只有21%的受訪企業(yè)表示已經(jīng)制定了網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃�,而這一比例在中型企業(yè)中上升到47%,在大型企業(yè)中上升到64%���;
- 定性調(diào)查結(jié)果表明���,另一個(gè)潛在改進(jìn)的領(lǐng)域是���,在事件響應(yīng)方面,IT或?qū)I(yè)網(wǎng)絡(luò)團(tuán)隊(duì)與更廣泛的員工(包括管理委員會(huì))之間的相對(duì)脫節(jié)�����。彌合這一差距需要IT團(tuán)隊(duì)和更廣泛的員工之間良好�、定期的溝通。事后審查也被視為讓更多員工參與網(wǎng)絡(luò)安全的一種方式���。
網(wǎng)絡(luò)犯罪態(tài)勢(shì)
在英國(guó)���,網(wǎng)絡(luò)攻擊活動(dòng)是否屬于網(wǎng)絡(luò)犯罪行為,主要是根據(jù)1990年頒布的《計(jì)算機(jī)濫用法》(Computer Misuse Act 1990)和英國(guó)內(nèi)政部頒布的《計(jì)數(shù)規(guī)則》(Home Office Counting Rules)來判斷�����。在今年的調(diào)研中�,研究人員發(fā)現(xiàn)企業(yè)組織在定義其所經(jīng)歷的違規(guī)或攻擊活動(dòng)是否屬于網(wǎng)絡(luò)犯罪時(shí),面臨一些新的問題和困難���。
- 調(diào)查結(jié)果顯示�,網(wǎng)絡(luò)犯罪在大型組織中更為普遍�����,盡管這也可能由于小型組織缺乏事件發(fā)現(xiàn)能力或故意瞞報(bào)的結(jié)果;
- 在過去的12個(gè)月里����,共有11%的企業(yè)組織經(jīng)歷過網(wǎng)絡(luò)犯罪����,其中中型企業(yè)的比例為26%,大型企業(yè)為37%����。而從另一個(gè)角度來看,共32%的企業(yè)發(fā)現(xiàn)了網(wǎng)絡(luò)安全違規(guī)或攻擊行為��,但其中僅約三分之一的事件最終被定義為網(wǎng)絡(luò)犯罪活動(dòng)��;
【過去一年經(jīng)歷過網(wǎng)絡(luò)犯罪的企業(yè)比例】
- 據(jù)研究人員估算�,在過去12個(gè)月里,所有英國(guó)企業(yè)共遭受了239萬(wàn)起網(wǎng)絡(luò)犯罪攻擊�����,其中大約有4.9萬(wàn)起網(wǎng)絡(luò)犯罪導(dǎo)致了實(shí)際的欺詐損失和后果�;英國(guó)企業(yè)每年因網(wǎng)絡(luò)犯罪造成的平均損失約為1.53萬(wàn)英鎊/人�����。
需要重點(diǎn)改進(jìn)的領(lǐng)域
在本次報(bào)告中��,研究人員再次強(qiáng)調(diào)了各種規(guī)模的企業(yè)組織�,都應(yīng)該重視并積極改進(jìn)網(wǎng)絡(luò)應(yīng)用的合規(guī)性和安全性:
1.建立更有效的溝通和信任關(guān)系
研究結(jié)果表明��,IT技術(shù)人員或安全團(tuán)隊(duì)?wèi)?yīng)該與各個(gè)業(yè)務(wù)部門建立良好���、持續(xù)的溝通����,因?yàn)楣噍斠环N常態(tài)化的安全意識(shí)需要依賴于雙向反饋�,即員工報(bào)告可疑活動(dòng),并聽取安全專家反饋的專業(yè)建議��。它還要求安全團(tuán)隊(duì)與企業(yè)管理層建立信任關(guān)系�����,這種方法是開展有效網(wǎng)絡(luò)安全建設(shè)工作的基礎(chǔ)�����。
2.密切關(guān)注供應(yīng)鏈和第三方安全
近年來的SolarWinds和GoAnywhere零日漏洞,不斷向企業(yè)印證了密切關(guān)注第三方軟件供應(yīng)鏈安全的重要性����。因?yàn)闊o論企業(yè)自己的網(wǎng)絡(luò)防御能力有多強(qiáng)大,合作伙伴的安全漏洞也會(huì)同樣導(dǎo)致防護(hù)體系的崩潰���。
目前�����,很多大型企業(yè)都采取了行動(dòng)審查第三方供應(yīng)商的網(wǎng)絡(luò)風(fēng)險(xiǎn)。然而�,這種審查在中小企業(yè)中還并不常見,企業(yè)仍然缺乏對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的認(rèn)識(shí)����。研究表明,通過開展IT審計(jì)���、客戶要求和監(jiān)管部門安全檢查等措施�����,將會(huì)推動(dòng)企業(yè)將更正式的供應(yīng)鏈安全管理流程落實(shí)到位�。在此之前,企業(yè)應(yīng)該準(zhǔn)備好勒索軟件緩解清單和網(wǎng)絡(luò)事件響應(yīng)計(jì)劃���,并通過定期的網(wǎng)絡(luò)攻擊桌面演習(xí)來優(yōu)化這些網(wǎng)絡(luò)安全政策和程序的有效性�����。
3.落實(shí)正式的事件響應(yīng)計(jì)劃
報(bào)告顯示���,盡管大多數(shù)組織聲稱他們會(huì)采取一系列措施來響應(yīng)網(wǎng)絡(luò)安全事件,但這些措施往往沒有形成標(biāo)準(zhǔn)化的流程和制度��。在安全事件真正發(fā)生時(shí)�,企業(yè)會(huì)陷入混亂,安全人員也不知道該扮演什么角色����。
隨著網(wǎng)絡(luò)犯罪導(dǎo)致的損失不斷飆升,企業(yè)減輕損失的唯一方法是進(jìn)行更充分地準(zhǔn)備和響應(yīng)�����。遺憾的是�,一些中小型企業(yè)組織因?yàn)榻?jīng)濟(jì)不景氣等因素而降低了對(duì)網(wǎng)絡(luò)安全的重視程度,一旦受到攻擊,其結(jié)果可能是災(zāi)難性的����,不僅要承擔(dān)從攻擊中恢復(fù)的成本,還可能面臨巨額監(jiān)管處罰和商譽(yù)損失�。
在當(dāng)今復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境中,企業(yè)應(yīng)該充分認(rèn)識(shí)到網(wǎng)絡(luò)安全是不可或缺的�����,任何組織都可能會(huì)受到攻擊����。因此,必須提前為可以出現(xiàn)的最壞情況做好準(zhǔn)備�,制定一個(gè)良好的網(wǎng)絡(luò)事件響應(yīng)計(jì)劃���,并為關(guān)鍵決策者提供有效的能力培訓(xùn)和權(quán)限���。
參考鏈接:https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2023/cyber-security-breaches-survey-2023
文章標(biāo)題:2023年英國(guó)網(wǎng)絡(luò)安全合規(guī)狀況調(diào)查:企業(yè)對(duì)網(wǎng)絡(luò)安全的重視度開始降低
URL鏈接:
http://uogjgqi.cn/article/dhdihdc.html
