2023年英国网络安全合规状况调查:企业对网络安全的重视度开始降低
日期:2023年04月25日 阅:63
近日,英国科学技术部发布了《2023年企业网络安全合规调查报告》( Cyber Security Breaches Survey ),对英国所有企业和社会性组织目前的网络威胁态势和合规建设进行研究,同时也就如何提升新一代网络应用的合规性给出专业性建议。研究人员发现,由于当前不利的经济环境,英国很多中小型企业及组织的管理者开始降低对网络安全的重视度,有29%的受访企业/组织表示不会将保障网络应用合规与安全作为其优先处理的事项。
报告研究认为,由于网络应用违规导致的安全攻击仍然是企业组织面临的主要威胁之一。与去年相比,中小型企业组织所报告的攻击和违规数量有所减少,但是这并非意味着企业组织的安全态势开始好转,而是可能反映出,一些企业的高级管理者降低了对网络安全的重视度,因此缩减了对违规网络应用或安全攻击活动的监控要求。
【网络安全优先级在企业中的变化趋势】
企业网络卫生能力状况
最常见的网络威胁通常相对简单,因此报告研究人员建议企业采用一套标准化的网络安全措施来满足基础性的防护要求。这些措施中最常见的手段包括更新恶意软件补丁、云备份、密码应用、权限管理和部署防火墙。然而,在近三年的调查中,企业在某些领域的网络卫生水平呈现持续下降的态势,主要包括:
尽管这些趋势主要是由于中小型企业的网络安全应用变化所引起,但是未来大型企业的合规态势发展同样值得高度关注。研究发现,大型企业组织相比中小型企业,董事会成员会更多参与公司的网络安全治理工作,并且管理方法相比中小企业更为复杂,同时大型企业所报告的网络风险也更少。
【制定网络安全战略的企业比例】
第三方安全认证和指导
报告研究发现,目前寻求外部网络安全指导的英国企业比例保持稳定。然而,仍然有大量的企业组织,包括一些大型企业,没有积极按照政府监管机构给出的网络安全建设指导方针开展安全建设,如网络安全建设指南,以及政府认可的Cyber Essentials标准或ISO 27001。
【寻求外部网络安全指导的企业比例】
【了解Cyber Essentials计划的企业比例】
【遵守PCI DSS、ISO 27001和NIST标准的企业比例】
网络安全事件响应
报告研究发现,虽然绝大多数受访企业组织表示,他们会在网络安全事件发生后采取行动进行响应和补救,但实际上,只有少数组织已经提前制定了支持这一行动的事件响应计划和流程。对大多数企业组织而言,如果提升其网络安全事件响应能力是一个需要持续改进的领域。
网络犯罪态势
在英国,网络攻击活动是否属于网络犯罪行为,主要是根据1990年颁布的《计算机滥用法》(Computer Misuse Act 1990)和英国内政部颁布的《计数规则》(Home Office Counting Rules)来判断。在今年的调研中,研究人员发现企业组织在定义其所经历的违规或攻击活动是否属于网络犯罪时,面临一些新的问题和困难。
【过去一年经历过网络犯罪的企业比例】
需要重点改进的领域
在本次报告中,研究人员再次强调了各种规模的企业组织,都应该重视并积极改进网络应用的合规性和安全性:
01
建立更有效的沟通和信任关系
研究结果表明,IT技术人员或安全团队应该与各个业务部门建立良好、持续的沟通,因为灌输一种常态化的安全意识需要依赖于双向反馈,即员工报告可疑活动,并听取安全专家反馈的专业建议。它还要求安全团队与企业管理层建立信任关系,这种方法是开展有效网络安全建设工作的基础。
02
密切关注供应链和第三方安全
近年来的SolarWinds和GoAnywhere零日漏洞,不断向企业印证了密切关注第三方软件供应链安全的重要性。因为无论企业自己的网络防御能力有多强大,合作伙伴的安全漏洞也会同样导致防护体系的崩溃。
目前,很多大型企业都采取了行动审查第三方供应商的网络风险。然而,这种审查在中小企业中还并不常见,企业仍然缺乏对供应链风险的认识。研究表明,通过开展IT审计、客户要求和监管部门安全检查等措施,将会推动企业将更正式的供应链安全管理流程落实到位。在此之前,企业应该准备好勒索软件缓解清单和网络事件响应计划,并通过定期的网络攻击桌面演习来优化这些网络安全政策和程序的有效性。
03
落实正式的事件响应计划
报告显示,尽管大多数组织声称他们会采取一系列措施来响应网络安全事件,但这些措施往往没有形成标准化的流程和制度。在安全事件真正发生时,企业会陷入混乱,安全人员也不知道该扮演什么角色。
随着网络犯罪导致的损失不断飙升,企业减轻损失的唯一方法是进行更充分地准备和响应。遗憾的是,一些中小型企业组织因为经济不景气等因素而降低了对网络安全的重视程度,一旦受到攻击,其结果可能是灾难性的,不仅要承担从攻击中恢复的成本,还可能面临巨额监管处罚和商誉损失。
在当今复杂的网络威胁环境中,企业应该充分认识到网络安全是不可或缺的,任何组织都可能会受到攻击。因此,必须提前为可以出现的最坏情况做好准备,制定一个良好的网络事件响应计划,并为关键决策者提供有效的能力培训和权限。
参考链接: