Sophos 調查指出即使勒索軟件事故不斷增加
企業管理層依然認為企業永遠不會遭受攻擊
Sophos作為新一代網絡安全領域的全球領導廠商,今天發布與研究機構 Tech Research Asia (TRA) 合作進行的《亞太地區及日本網絡安全趨勢》第三期調查報告。是次研究指出,由於企業管理層仍然欠缺網絡安全意識,即使勒索軟件攻擊次數增加、影響加劇和處理成本不斷上升,他們依然認為業務絕對不會受到攻擊。
企業需從管理層著手 逐步開始提高網絡安全意識
在過去一年間,雖然亞太地區及日本的企業於網絡安全經費增加,並且在網絡安全成熟度的自我評估中有所提升,但只有 40% 的受訪企業認為管理層充分了解網絡安全的重要性。因此,往住管理層和主管認為企業永遠不會受到攻擊的心態,則令網絡安全專業團隊感到氣餒。
當中,60% 的受訪者認為「網絡安全供應商未有向所屬企業提供培訓管理層的資訊」,而88% 的企業認為未來 24 個月最大的挑戰為如何提升員工和管理層對網絡安全的警覺性和知識。透過持續進行網絡安全培訓和宣傳,將有助亞太地區及日本的企業解決兩個備受關注的攻擊媒介,包括:網絡釣魚 (phishing attacks) 或鯨釣攻擊 (whaling attacks),以及員工安全憑證薄弱或遭受入侵的問題。
Sophos 亞太地區及日本全球解決方案工程師 Aaron Bugal 表示:「勒索軟件攻擊變得越來越複雜,企業需要一個可信且易於執行的網絡安全培訓計畫。根據我們的觀察,現時企業的網絡安全策略傾向以「被攻擊才做出改變」為循環,情況不利網絡安全團隊管理企業數據財產。因此,企業管理層則肩負推動網絡安全的重任,並帶領其他員工逐步提升網絡安全意識和學習相關知識。」
網絡安全人才短缺持續將引致嚴重保安問題
網絡安全人才短缺仍然是區域內的企業關注重點。73% 的受訪企業預計在未來 24 個月難以聘請網絡安全專才,而26% 的受訪者則預計將因此遇到重大網絡安全挑戰。隨著招聘困難,企業亦紛紛考慮未來需優先聘請內部安全人員和所涉及的專業領域,包括:
- 雲端安全策略和基礎設施
- 加強員工內部自我培訓能力及管理層的網絡安全技能
- 測試軟件漏洞
- 掌握最新網絡威脅趨勢
- 保持網絡策略合符法規及定立完善報告機制
專業網絡安全人員的最大挫折
報告強調,專業網絡安全人員正面臨各種挑戰和挫折,其中大部分與安全意識、洞察能力、資訊傳遞和教育有關。當中,三大最感挫折的情況為:
- 管理層和董事會不了解網絡攻擊的可能性,並沒有做出適當的反應
- 缺乏有經驗的網絡安全專家
- 管理層過度依賴「恐懼和懷疑」的資訊,導致難以進一步提升網絡安全意識
專業網絡安全人員遇到的其他挫折包括:
- 管理層認為無法阻止攻擊
- 無法跟上網絡安全威脅的步伐
- 欠缺足夠資金和時間培訓基層員工
Aaron Bugal 繼指:「今年,專業網絡安全人員持續面臨眾多挫折,而大部分人都對他們對警告和資訊置若罔聞。雖然目前缺乏經驗豐富的網絡安全專家,但只要從管理層和董事會層面開始著手,加強培訓及制定能提高警覺性的策略,則能直接克服許多技術上的障礙。另外,現時專業網絡安全人員所面對的挑戰源於企業經營者缺乏高階網絡安全認知所致,因此難以讓管理層投資於網絡安全解決方案,以緩解相關問題。由此可見,問題不在於技術,而在於教育。除非企業能上下一心了解網絡攻擊對企業營運、客戶關係和品牌聲譽所造成的嚴重威脅,否則增加網絡安全開支亦無補於事。」
網絡安全培訓為企業的業務重點,以下五個步驟將有助企業提升網絡安全教育:
- 董事會必須協助團隊了解並非所有資源都能充分受到保護,所以應學習如何優先考慮最需要保護的關鍵訊息、數據和系統。
- 應向所有員工提供網絡安全培訓課程,涵蓋基本知識、攻擊類型和媒介、入侵者資訊及相關科技術語。
- 明確定立網絡安全基礎後,企業需配合其數碼轉型策略,加快策制定網絡安全計劃。
- 企業的網絡安全計劃應易於實行,如:配合現行法律、 違規響應協議、 勒索軟件贖金支付策略、偏差評估及未來的角色和義務。
- 企業應清楚了解現行營運的規定及監管要求,同時掌握違規時的法律要求,以及合適的安全數據管理措施。
有關《亞太地區及日本網絡安全趨勢》研究
Sophos 委託 Tech Research Asia (TRA) 對亞太地區和日本的網絡安全趨勢進行一項研究,並透過一次大型調查,在澳洲、印度、日本、馬來西亞、菲律賓和新加坡收集共900 份回覆。
發表迴響