来源:中国银行保险报
□记者 谭乐之
网络安全风险不容小觑。近年来,勒索软件对企业的攻击大幅增加,并且威胁持续增长。意大利信息安全协会近期发布的研究报告显示,2021年,全球网络犯罪造成的相关损失超6万亿美元;2020年这一数字估计为1万亿美元。当新冠肺炎疫情迫使许多公司将工作环境转移到线上时,网络黑客利用技术漏洞攻击诸多企业。
尽管网络安全问题备受关注,但在实践层面,企业的网络安全风险控制能力却并不理想。近日,达信联合微软对全球660多名网络风险决策者(包括首席执行官、首席信息安全官和风险经理)进行在线调查,并就亚洲公司的网络风险应对准备情况提出见解。
根据调查结果,在亚洲数字化转型步伐加快、网络攻击数量增加、网络威胁模式发生改变的背景下,近70%的公司对自身网络复原力充满信心。然而,也有近一半(48%)的公司承认,他们在管理网络风险方面仍存在改进空间。
网络安全风险控制措施的欠缺或对企业造成重大影响。“我们的调查结果表明,亚洲公司并没有像他们想象的那样做好网络风险应对准备。”达信相关负责人介绍,“他们缺乏网络安全风险控制措施,致使漏洞凸显,被网络攻击直接利用,进而引发不必要的损失或直接/间接影响公司的网络事件(例如影响公司声誉的数据泄露)。”
网络安全风险控制措施的欠缺也将影响企业投保网络安全保险。专家表示,由于网络事件造成的损失不断增加,作为承保条件,保险公司要求投保企业必须执行“用于远程访问和管理/特权的多因素身份验证”“备份安全、加密和测试”“特权访问管理(PAM)”等网络安全风险控制措施。企业必须做好准备,向保险公司展示如何妥善控制风险,以便在持续走硬的网络安全保险市场获得满意的承保范围、限额和保费条件。
目前来看,根据达信和微软的调研结果,亚洲公司主要缺乏四种网络安全风险控制措施。
一是端点检测和响应(EDR)。所谓端点是指公司的远程设备,如笔记本电脑或智能手机。这是常见网络攻击切入点,多数公司经历过一次或多次端点攻击,其数据或IT设施遭到破坏。
二是网络安全意识培训/网络钓鱼测试。据统计,几乎所有网络安全问题都是由人为错误导致,因此,制订并实施详细计划对员工和IT用户进行网络风险等方面的教育至关重要。网络钓鱼测试有助于评估员工对可疑电子邮件的反应并确定需要进一步改进的行为。
三是备份安全、加密和测试。如果企业缺乏定期测试的安全备份,一旦遭遇停机或勒索软件攻击,业务中断时间可能大大延长。定期测试可以及早检出和纠正错误或故障,从而确保数据的完整性和可用性。
四是电子邮件过滤和网络安全。由于企业每天都可能收到包含恶意附件和恶意软件链接的垃圾邮件,因此,拥有电子邮件自动检测和过滤软件可以防止员工访问这些电子邮件并使企业免受伤害。
由此看来,强化企业网络安全风险控制措施势在必行。解决网络安全风险控制问题,除采取一定的技术手段外,还可以加强与风险管理机构的合作。比如,在电子邮件过滤和网络安全方面,企业可与风险顾问合作,获得全面的网络风险咨询建议和解决方案,一起审查其关键系统和资产。对企业而言,在不断演变的网络风险环境中实现持续增长,需要企业制定清晰的路线图和战略,并将实施高效的网络风险管理放在优先位置。