駭客攻擊事件常有發生,當攻擊在香港發生時,恐怕後果將不堪設想!事關有報告指出,雖然香港受訪企業普遍知悉網絡安全的重要性,並表示會尋求網絡安全專家協助,但大部份 (95%) 企業在網絡安全準備方面仍只處於基礎階段。報告同時指出,受訪企業在網絡安全設備、危機意識,以及在預防網絡攻擊所投放的資源及準備等範疇上均有明顯的不足。
今次由 Quann 與市場研究公司 IDC 共同發表題為《Quann 2017 網絡安全終端用家調查報告》訪問了來自新加坡、香港及馬來西亞三個地區,共150 位於中型至大型企業工作的資深 IT 技術人員,以深入了解該等企業於網絡安全的對策,以及預防網絡攻擊的措施和監測漏洞等方案。
有分析指出,這次調查結果令人憂慮,但並不意外。報告顯示,不少企業縱使面對明顯的威脅,但並未有在網絡安全上投放足夠資源。在安全措施、專業服務及員工培訓上缺乏投資均會大大增加企業被駭客攻擊的機會。最近肆虐全球的勒索軟件 WannaCry 及 Petya 只是冰山一角,企業需明白到員工完成培訓、配備強大、全面的防禦和偵測系統及網絡保安程序的重要性,以應付突如其來的攻擊,並減輕相關攻擊事件所帶來的影響。
即使大部份受訪香港企業已配備防火牆及防毒軟件等基本保安系統,但仍有過半 (61%) 受訪者指出,其工作機構並未有設置可偵測異常情況及作出預警的智能網絡安全系統或網絡安全事故管理系統。另外,有66% 受訪者表示,其工作機構並未有設立可作保安事故前期監控、分析及制定應對措施的安全操作中心 (SOC) 或專責團隊。
企業缺乏適當的監督系統及應變方案,意味著即使保安系統偵測到任何異常情況,亦有機會令惡意程式長期潛藏於系統中不被發現而造成損害。
此外,報告中指出44% 的受訪香港企業並無制定有效保護網絡系統及重要資料的應對方案,或等待事件發生後才作出反應。只有五分之一 (20%) 的企業曾進行網絡事故應對方案的演習。企業內的非IT員工通常被視為網絡安全中最弱的一環,並經常成為網絡罪犯的攻擊目標,但只有三分之一 (32%) 的受訪香港企業要求包括行政總裁在內的全體員工進行網絡安全意識的培訓。
大部份 (90%) 香港受訪企業並無特定的網絡保安預算及計劃,44% 受訪香港企業表示,他們雖然有網絡保安領導一職,但該員工需同時兼顧其他工作,並非專責網絡安全。大部份企業亦無提供全天候網絡保安支援,32% 的受訪企業只在辦工時間內提供支援,而12% 則在工作週內提供支援。
報告亦顯示高級領導層在制定網絡安全策略的參與水平偏低。大部份 (83%) 的受訪香港企業表示有諮詢安全管理人員,但只有12% 的企業會邀請安全管理人員參與常規領導層會議,讓企業的高級領導層參與風險評估。
IDC 網絡安全指數評估
IDC 及 Quann 評估受訪企業對網絡攻擊的準備水平,並將其分為四個階段,當中以「基礎防禦」為最不成熟的階段。指數的分級是按 IDC 對全球企業成熟程度的理解,並且以全球性的準則作分析。
在每一個階段,IDC 網絡安全指數評估指出如何在風險管理、網絡安全意識、技術和架構、資源配置,以及事故應對和修復這五個層面上增強網絡安全的成熟程度,令企業在數碼轉型的時代增強競爭力。
4個企業網絡安全成熟指標階段概覽:
第一階段 – 基礎防禦 (Basic Defence)
網絡安全只被視為輔助功能,而相關的投資只達最低標準。執行及監管網絡安全狀況均受日常營運所影響。 防禦能力有限,只能阻擋最基本的攻擊,亦沒有制定危機應對方案。
第二階段 – 技術性防禦(Tactical Knowledge)
企業只制定最簡單的網絡安全應對策略及關鍵技術解決方案。雖然 IT 團隊視網絡安全為重要議題,但其他員工一般認為網絡安全只屬 IT 部門的分內事。高級管理層對關鍵系統及數據均缺乏參與和了解。
第三階段 – 策略性防禦(Strategic Intent)
網絡安全被視為商界及 IT 界所關注的議題,且有專責的領導者。企業網絡安全部門有明確的分工,並符合「企業管治、風險管理及合規」(GRC) 的框架。雖然會考慮外判部份工作,但大多技術及設備架構層面上的工作均由企業員工負責。
第四階段 – 進階執行及防禦(Advanced Execution)
任命專責的首席資訊安全總監 (CISO),並直接向行政總裁 (CEO) 匯報。企業更具備內部及對外的網絡保安政策,由了解有關政策的員工執行指令,設有明確及記錄在案的應對策略。
港企網絡安全準備不足!9 成企業資安防護處於基礎階段
https://www.facebook.com/hkitblog