Reports

Kroll:企業缺乏信任 有礙建立網絡韌性 

Cheung Cleo
  •  
  •  
  •  

風險和財務諮詢解決方案供應商德安華 (Kroll) 發表《網絡防禦狀況報告 2023:信任誤判》。報告共訪問了1,000名來自全球八個市場包括香港在內的資訊科技安全決策者,並發現由於企業內部缺乏信任,導致所制訂的網絡防禦策略有欠成熟,是建立網絡韌性的最大挑戰。

企業內部缺乏信任

Kroll報告指出,企業內部缺乏信任的情況十分普遍,高達95%資訊安全決策者認為其公司管理層不相信他們能夠保護企業免受網絡攻擊威脅,有超過4成人 (42%) 則表示公司欠缺對員工的信任成為網絡安全工作上的最大挑戰,比率較預算不足 (38%),對網絡成熟度欠缺了解 (37%) 及網絡安全團隊人手不足 (32%) 等高。報告亦剖析其他限制網絡安全發展的因素,如企業忽視網絡保險的重要性,並探討信任錯托對企業應對網絡安全挑戰時所產生的廣泛影響。

有關香港的重點發現: 

  • 近半數 (48%) 受訪香港企業的資訊安全決策者認為,業績目標過高為企業內部信任度下降的主要原因,且是造成他們制訂穩健網絡安全策略的一大障礙。相比香港企業, 受訪全球企業則認為企業內部信任度下降的主要原因是缺乏溝通 (47%)。 
  • 組織網絡環境中缺乏信任而導致工序的重複及誤判網絡威脅等後果,是香港企業資訊安全決策者 (同樣為40%) 最為擔憂的兩個部分。 

報告亦指出,全球企業在制訂網絡安全策略時,應在不同措施及信任度上取得平衡。比較各種預防企業遭受網絡攻擊的方法,員工避免成為網絡攻擊受害者的能力獲最多受訪者 (66%) 信任,而只有 56%受訪者認為網絡威脅情報的準確度最值得他們信任。比起數據,企業更信任員工,這或構成對網絡威脅警覺性下降的隱患。Kroll網絡風險諮詢董事總經理暨全球主管James McLeary表示:「信任對企業有效應對當前網絡威脅十分重要—企業需要相信團隊,相信科技,相信網絡威脅資訊及情報, 以及相信網絡安全服務供應商。不過,企業對不同措施的信任需取得平衡。此外,系統若沒有持續管理與回應,企業對網絡安全工具的功能或會存有誤解。我們固然理解,因為網絡保安團隊每天需要處理龐大的資訊和源源不絕的網絡安全事故。他們希望尋求總能解決當下問題的方案,但卻沒有意識到在持續演變的網絡環境下,根本沒有一勞永逸的解決方案。」

Kroll網絡風險諮詢董事總經理暨全球主管James McLeary

缺乏網絡保險保障

此外,調查亦發現,雖然不少企業在網絡防禦方面已採取多元化策略,但現時僅有約五分 一 (23%) 企業的網絡安全受網絡保險保障,而在認為其企業的網絡安全工作成熟的資訊安全人員中,只有20%有購買網絡保險。按行業劃分,服務業,非牟利機構和運輸業最為缺乏網絡保險保障,分別僅有10%,13%及17%受訪企業有配備網絡保險。雖然科技及通訊行業 (34%) 和教育業 (27%) 有較多機構受網絡保險保障,但仍有多達三分之二的企業沒有配備任何網絡保險,尤其去年網絡安全事故發生頻頻,企業不應忽視網絡保險的重要性。 

Kroll 網絡風險管理副董事總經理林志強

Kroll網絡風險管理副董事總經理林志強表示:「為全面提高網絡韌性,企業需持續評估 其應對網絡風險的工作部署,確保網絡安全策略覆蓋的範疇面面俱全,且與時並進。企業要時刻留意網絡威脅的發展趨勢並深入了解能有效抵禦威脅的網絡安全工具,以採取適當措施應對日新月異的各種威脅。企業亦應考慮以網絡保險作為風險轉移機制,在現時網絡風險形勢下至關重要。儘管近年針對網絡風險的保險成本顯著增加,我們相信只要企業能專注於風險管控並為日漸嚴格的續保流程做好準備,就能減輕因承保準則收緊和受保範圍減少而導致保費上升及免賠額提高所帶來的影響。」 

報告其他發現包括:

  • 亞太區資訊科技安全高層人員對企業的信任度較其他地區低,只有30%受訪者表示他們「完全相信」所屬企業受到充分保障,且能成功防禦絕大部分以至全部網絡攻擊,比例低於全球受訪者的37%。
  • 受訪者欠缺信任的原因各異,不同市場的受訪者對企業內部缺乏信任的原因看法不一。 在日本,責難文化 (56%) 是主要原因,而缺乏溝通則是新加坡受訪者的首選原因 (52%)。 
  • 所有受訪者均同意欠缺信任是有代價的 (100%),對企業影響廣泛而深遠。新加坡 受訪者認為,最大影響是企業會購置不必要的科技配套 (46%),而日本受訪者最擔 憂會導致危機應變速度緩慢。 
  • 日本是最少企業配備網絡安全保險的市場,只有16%受訪者指其企業有投保。不過這與全球的數據並無太大差距,只有約五分之一 (23%) 全球企業受網絡保險保障。

  •  
  •  
  •