2023年11月,埃信华迈公司(IHS Markit)发布了题为《网络安全风险上升,部分行业需做好充分准备》(With cybersecurity risks on the rise, some sectors can do more to prepare)。该报告介绍了近年来网络安全发展概况,指出部分企业在网络安全管理方面存在疏漏并分析这一问题会对企业造成的损害,并为此类企业完善网络安全事件应对机制、加强数据保护力度提供一系列战略性建议。

摘译 | 许艺凡/赛博研究院实习研究员

来源 | IHS Markit

近年来,网络安全漏洞数量增多、网络数据窃取事件越来越频繁,这使得维护信息安全及保护消费者数据成为企业治理的关键问题。标准普尔公司的数据显示,各行各业的大部分公司都会安排董事会成员负责网络安全战略,但仍有部分公司缺乏应对网络安全事件的计划,而在制定计划的公司中,又有近三分之一的公司未能定期测试计划的实用性。在诸多行业中,金融和医疗保健行业所面临的网络安全风险尤其高,这是因为它们必须保护敏感程度较高的消费者金融与医疗数据。

信息安全维护属于管理问题,如果管理不善,可能会对公司声誉和消费者造成负面影响,尤其是在财务或消费者健康数据泄露的情况下。如果由于隐私保护措施不足,没有保护好消费者信息,导致网络犯罪分子可以获取个人数据,那么就会产生社会风险。

本报告从六个维度出发论述疏于网络安全管理的企业应当采取的举措:1)董事会职责;2)事件响应计划;3)网络安全措施;4)隐私政策;5)金融与医疗领域的敏感数据;6)未来展望。

01 董事会职责

在2020年至2022年期间,各个行业中越来越多的企业开始指派董事会成员监督旨在防止IT系统故障及重大信息安全事故产生的网络安全战略的实施,2022年的加拿大标准协会(CSA)评估显示,约有80.6%的企业采取了这一举措,高于2020年的CSA评估数据(66%)。在信息技术及金融行业中,约有86%的企业有指定的董事会成员,能源行业的比例最低(仅有70.7%),而医疗保健行业中此类企业的比例则接近跨行业平均水平。

在2020年至2022年期间,将网络安全责任分配给董事会成员的企业数量大幅度增长。材料行业从2020年的55.2%跃升至2022年的80.2%,相较之下,能源行业在此期间仅有小幅度的增长。2020年,约有65.9%的能源公司指定董事会成员监督网络安全战略的实施,到了2022年,这一比例已增至70.7%。

02 事件响应计划

虽然由董事会成员负责监督网络安全战略实施已成常态,但网络安全事件响应计划仍然缺乏。制定此类计划旨在确保企业业务的连续性、预防网络攻击并降低可能的成本与处罚。IBM建议,网络安全事件响应计划应明确规定如何识别、控制及解决不同类型的网络攻击行为,并将定期测试事件响应计划列为最终降低成本的因素之一。

目前,各行业中已有42.7%的企业制定了网络安全事件响应计划,并至少每年测试一次。然而,仍有五分之一的企业尚未制定计划。标准普尔的数据显示,其余37.3%的企业制定了事件响应计划,但测试频率仍低于每年一次,或者没有明确说明是否会有测试计划。

金融行业的企业每年测试计划的比例最高(60.1%),它也是唯一一个大多数企业都会定期测试网络安全事件响应计划的行业。信息技术、材料及房地产行业中没有制定计划的企业比例最高(各占25%左右),然而,信息技术行业却是制定了至少每年进行一次计划测试的企业占比第二高的行业。

医疗保健行业的企业响应计划测试比例低于各行业的平均水平,该行业中每年至少进行一次计划测试的企业比例略低于40%,而未指定或测试频率低于每年一次的企业比例(46.2%)则位居第二。

03 网络安全措施

2022年,CSA还研究了企业用于从根本上防止网络安全事件发生的举措。这些举措旨在培训员工,使他们深刻意识到网络安全威胁。数据泄露调查报告显示,74%的数据泄露由人为造成,包括简单的错误及凭证被盗。

企业通常使用以下方式提高员工对信息安全重要性的认识:1)为全体员工制定内部信息安全政策;2)开展认知培训;3)制定明确的上报可疑情况的升级程序;4)将网络安全作为员工绩效评估的一部分。这些举措的目的是通过逐步改变员工的行为来提高网络安全性。

在过去的三年里,不少企业都提高了CSA评估的四项措施的实施率。2022年,近四分之三的受评估企业已实施了全部四项措施,而在2020年,这一比例仅为52.5%。信息技术(87.8%)、能源(82.9%)和公用事业(80.3%)行业的企业实施这四项措施的比例最高,其中能源行业尤其加大了对员工的培训力度,2020年,该行业中实施所有四项措施的企业比例最低(41.2%)。

04 隐私政策

如果信息安全系统和程序管理不善,造成数据泄露,个人数据就会对客户、供应商及其他业务伙伴造成伤害。随着公司从客户与业务伙伴处收集的信息与数据越来越多,如果隐私保护系统薄弱,那么这些数据就很容易被轻易获取。

企业可以采用多种机制来保护其掌握的个人数据,这些机制包括对整个组织实施全面且会定期审核的隐私政策,以及制定专人或部门负责处理隐私问题,后者有助于确保组织内部在处理这一问题上有明确的主导权。

2022年,CSA数据显示,在这一指标上,几乎每四家接受评估的企业中就有一家缺乏明确的内部组织结构来处理隐私问题。在行业层面,金融和医疗保健行业在应对隐私问题方面略微领先于其他行业,信息技术和通信行业(包括社交媒体企业和其他涉及收集大量消费者数据的数字原生企业)则低于行业平均水平。

05 金融与医疗领域的敏感数据

自20世纪90年代末金融行业开始实施数字化以来,和该行业一直是信息安全和数据保护领域的佼佼者。最近,医疗保健行业已成为数据收集热点。金融和医疗保健行业掌握着价值较高的个人信息,这些信息一旦泄露,便可能会被用于盗用身份以及其他影响消费者的犯罪行为。

信息技术和通信企业为互联网及其应用提供了重要的数字和物理基础设施,并在保护企业、公共和私人信息方面发挥着关键作用,这些企业代表了与网络安全和隐私保护相关的最佳实践和政策。

最近,该行业经历了大规模的数据泄露事件,其中最为著名的是2017年Equifax数据泄露事件,该事件泄露了超过1.47亿美国公民的个人信息,此类事件可能会使信息安全和隐私问题成为该行业首要处理的事项。

虽然医疗保健行业在网络安全和隐私治理方面有所进步,但在实践方面仍然需要改进。在医疗保健行业中,设有负责隐私问题的人员或部门的企业比例高于平均水平,超过80%的企业有指定的董事会成员负责网络安全问题。然而,该行业在响应计划测试方面却排名倒数第三。同时,在采取四项关键网络安全措施的企业比例方面,该行业也低于平均水平,这表明该行业未来可以采取更多的举措,帮助员工做好发现及报告网络安全漏洞的准备。

06 未来展望

与金融业相比,医疗保健业在数字化进程中起步较早,但随着网络安全和隐私成为监管机构和政策制定者关注的焦点,所有经济领域都有提升的空间。2023年1月,美国加利福尼亚州——众多科技公司总部所在地增强了该州消费者因斯法案实施力度,赋予公民限制企业使用个人数据的权利;欧盟则于2022年通过了《数字运营弹性法案》,为金融机构制定了包括事件处理报告、弹性测试和第三方外包等方面在内的运营要求;美国证券交易委员会则已将网络安全实践列为其审查部门2024年的优先事项。

随着全球经济对数字技术的依赖程度不断提高,预防和应对信息安全风险对于各行各业的企业来说只会变得更加重要。

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。