2023年英國網絡安全合規狀況調查:企業對網絡安全的重視度開始降低
責編:gltian |2023-04-26 14:12:13近日,英國科學技術部發布了《2023年企業網絡安全合規調查報告》( Cyber Security Breaches Survey ),對英國所有企業和社會性組織目前的網絡威脅態勢和合規建設進行研究,同時也就如何提升新一代網絡應用的合規性給出專業性建議。研究人員發現,由于當前不利的經濟環境,英國很多中小型企業及組織的管理者開始降低對網絡安全的重視度,有29%的受訪企業/組織表示不會將保障網絡應用合規與安全作為其優先處理的事項。
報告研究認為,由于網絡應用違規導致的安全攻擊仍然是企業組織面臨的主要威脅之一。與去年相比,中小型企業組織所報告的攻擊和違規數量有所減少,但是這并非意味著企業組織的安全態勢開始好轉,而是可能反映出,一些企業的高級管理者降低了對網絡安全的重視度,因此縮減了對違規網絡應用或安全攻擊活動的監控要求。
- 研究發現,32%的受訪中小型企業組織表示過去12個月發生過數據泄密或安全攻擊事件,相比中型企業(59%)和大型企業(69%)的調研比例要低得多;
- 研究發現,英國企業所報告的網絡攻擊和數據泄露事件同比下降,這種下降趨勢主要是由中小型企業推動的,而大中型企業的調研結果與去年基本持平;
- 研究人員認為,在過去12個月里,所有企業的網絡應用違規行為平均成本約為1100英鎊;而大中型企業的平均成本為4960英鎊;
- 研究發現,將網絡安全列為優先事項的組織比例已從2022年的82%下降到今年的71%。數據表明,相對于通脹和不確定性等廣泛的經濟發展問題,網絡安全在中小型企業組織中的優先級排序已經下降,有29%的企業認為網絡安全工作是不需要優先處理的事務。
【網絡安全優先級在企業中的變化趨勢】
企業網絡衛生能力狀況
最常見的網絡威脅通常相對簡單,因此報告研究人員建議企業采用一套標準化的網絡安全措施來滿足基礎性的防護要求。這些措施中最常見的手段包括更新惡意軟件補丁、云備份、密碼應用、權限管理和部署防火墻。然而,在近三年的調查中,企業在某些領域的網絡衛生水平呈現持續下降的態勢,主要包括:
- 是否使用了密碼管理策略(2021年為79%,2023年為70%);
- 是否使用了網絡防火墻(2021年為78%,2023年為66%);
- 是否進行了統一的身份和權限管理(2021年為75%,2023年為67%);
- 是否會在14天內進行應用軟件的安全更新與補丁修復(2021年為43%,2023年為31%)。
盡管這些趨勢主要是由于中小型企業的網絡安全應用變化所引起,但是未來大型企業的合規態勢發展同樣值得高度關注。研究發現,大型企業組織相比中小型企業,董事會成員會更多參與公司的網絡安全治理工作,并且管理方法相比中小企業更為復雜,同時大型企業所報告的網絡風險也更少。
- 研究發現,近30%的受訪企業表示,其董事會成員或受托人會直接參與網絡安全管理工作,這一比例在中型企業和大型企業中分別升至41%和53%;
- 21%的中型企業和30%的大型企業聽說過NCSC的董事會安全監管工具包(Board Toolkit),這一比例在2020年(該工具包推出時)分別為11%和22%;
- 49%的中型企業、68%的大型企業和36%的高收入慈善機構制定了正式的網絡安全戰略。數據表明,制定該戰略的主要推動因素來自政府監管部門的壓力、審計和商業并購活動。它也與網絡安全團隊獲得運營獨立性(例如從IT部門分割出來)的調研數據高度吻合;
【制定網絡安全戰略的企業比例】
- 研究發現,阻礙了董事會更多地參與網絡安全工作的主要因素包括:缺乏知識、培訓和時間。這凸顯了網絡安全人員在如何說明網絡安全支出的必要性時,會面臨較大的挑戰。
第三方安全認證和指導
報告研究發現,目前尋求外部網絡安全指導的英國企業比例保持穩定。然而,仍然有大量的企業組織,包括一些大型企業,沒有積極按照政府監管機構給出的網絡安全建設指導方針開展安全建設,如網絡安全建設指南,以及政府認可的Cyber Essentials標準或ISO 27001。
- 49%的受訪企業組織表示,在過去的一年里,他們從外部第三方機構尋求網絡安全方面的信息或指導,最常見的是網絡安全咨詢顧問和IT審計服務;
【尋求外部網絡安全指導的企業比例】
- 僅有14%的受訪企業知道“Cyber Essentials”網絡基本評估計劃,而中型企業和大型企業的調研比例分別為50%和59%;
【了解Cyber Essentials計劃的企業比例】
- 只有9%的企業報告遵守了ISO 27001,而在大型企業中,這一比例會更高(27%);
【遵守PCI DSS、ISO 27001和NIST標準的企業比例】
- 調查結果表明,企業尋求外部認證的主要因素可能源于其客戶的要求。對于組織來說,使用第三方安全服務是一種便利的方式,可以快速生成一套關于其網絡安全標準的標準化文檔,并加速其員工的網絡安全意識培養。
網絡安全事件響應
報告研究發現,雖然絕大多數受訪企業組織表示,他們會在網絡安全事件發生后采取行動進行響應和補救,但實際上,只有少數組織已經提前制定了支持這一行動的事件響應計劃和流程。對大多數企業組織而言,如果提升其網絡安全事件響應能力是一個需要持續改進的領域。
- 近40%的受訪企業和機構表示,最常見的網絡安全事件響應流程就是為個人分配特定的角色和責任,并對外部報告和內部報告進行指導;
- 只有21%的受訪企業表示已經制定了網絡安全事件響應計劃,而這一比例在中型企業中上升到47%,在大型企業中上升到64%;
- 定性調查結果表明,另一個潛在改進的領域是,在事件響應方面,IT或專業網絡團隊與更廣泛的員工(包括管理委員會)之間的相對脫節。彌合這一差距需要IT團隊和更廣泛的員工之間良好、定期的溝通。事后審查也被視為讓更多員工參與網絡安全的一種方式。
網絡犯罪態勢
在英國,網絡攻擊活動是否屬于網絡犯罪行為,主要是根據1990年頒布的《計算機濫用法》(Computer Misuse Act 1990)和英國內政部頒布的《計數規則》(Home Office Counting Rules)來判斷。在今年的調研中,研究人員發現企業組織在定義其所經歷的違規或攻擊活動是否屬于網絡犯罪時,面臨一些新的問題和困難。
- 調查結果顯示,網絡犯罪在大型組織中更為普遍,盡管這也可能由于小型組織缺乏事件發現能力或故意瞞報的結果;
- 在過去的12個月里,共有11%的企業組織經歷過網絡犯罪,其中中型企業的比例為26%,大型企業為37%。而從另一個角度來看,共32%的企業發現了網絡安全違規或攻擊行為,但其中僅約三分之一的事件最終被定義為網絡犯罪活動;
【過去一年經歷過網絡犯罪的企業比例】
- 據研究人員估算,在過去12個月里,所有英國企業共遭受了239萬起網絡犯罪攻擊,其中大約有4.9萬起網絡犯罪導致了實際的欺詐損失和后果;英國企業每年因網絡犯罪造成的平均損失約為1.53萬英鎊/人。
需要重點改進的領域
在本次報告中,研究人員再次強調了各種規模的企業組織,都應該重視并積極改進網絡應用的合規性和安全性:
01
建立更有效的溝通和信任關系
研究結果表明,IT技術人員或安全團隊應該與各個業務部門建立良好、持續的溝通,因為灌輸一種常態化的安全意識需要依賴于雙向反饋,即員工報告可疑活動,并聽取安全專家反饋的專業建議。它還要求安全團隊與企業管理層建立信任關系,這種方法是開展有效網絡安全建設工作的基礎。
02
密切關注供應鏈和第三方安全
近年來的SolarWinds和GoAnywhere零日漏洞,不斷向企業印證了密切關注第三方軟件供應鏈安全的重要性。因為無論企業自己的網絡防御能力有多強大,合作伙伴的安全漏洞也會同樣導致防護體系的崩潰。
目前,很多大型企業都采取了行動審查第三方供應商的網絡風險。然而,這種審查在中小企業中還并不常見,企業仍然缺乏對供應鏈風險的認識。研究表明,通過開展IT審計、客戶要求和監管部門安全檢查等措施,將會推動企業將更正式的供應鏈安全管理流程落實到位。在此之前,企業應該準備好勒索軟件緩解清單和網絡事件響應計劃,并通過定期的網絡攻擊桌面演習來優化這些網絡安全政策和程序的有效性。
03
落實正式的事件響應計劃
報告顯示,盡管大多數組織聲稱他們會采取一系列措施來響應網絡安全事件,但這些措施往往沒有形成標準化的流程和制度。在安全事件真正發生時,企業會陷入混亂,安全人員也不知道該扮演什么角色。
隨著網絡犯罪導致的損失不斷飆升,企業減輕損失的唯一方法是進行更充分地準備和響應。遺憾的是,一些中小型企業組織因為經濟不景氣等因素而降低了對網絡安全的重視程度,一旦受到攻擊,其結果可能是災難性的,不僅要承擔從攻擊中恢復的成本,還可能面臨巨額監管處罰和商譽損失。
在當今復雜的網絡威脅環境中,企業應該充分認識到網絡安全是不可或缺的,任何組織都可能會受到攻擊。因此,必須提前為可以出現的最壞情況做好準備,制定一個良好的網絡事件響應計劃,并為關鍵決策者提供有效的能力培訓和權限。
參考鏈接: