Sophos 日前發表和研究機構 Tech Research Asia (TRA) 合作進行的《亞太地區與日本網路安全未來》調查報告第二版。該研究顯示,儘管網路攻擊繼續增加,但網路安全預算仍然停滯不前,而且經營團隊還是低估了威脅對企業造成的破壞。
攻擊增加,但預算沒有跟上
在受訪的亞太地區企業中,近 70% 的企業在 2020 年發生過資料外洩,比 2019 年增加了 36%。在這些外洩事件中,有 55% 的企業評估資料外洩情況「非常嚴重」(24%) 或「嚴重」(31%)。受訪企業中,有近 17% 每週遭受 50 次攻擊。
雖然攻擊的頻率和嚴重性不斷增加,但在 2019 年至 2021 年之間,網路安全預算的配比大致上沒有改變。有 59% 的受訪者表示編列的網路安全預算低於所需的水準,與 2019 年的比例相同。
Tech Research Asia 首席分析師暨總監 Trevor Clarke 表示:「總而言之,安全性就是把風險精簡化。如果風險增加,預算也應該增加。但是在前景未明的氛圍中,我們看到企業對安全支出採取保守的態度,這會影響他們領先網路犯罪分子的能力。」
最大障礙之一是經營團隊保持冷漠
在整個亞太地區和日本 (APJ) 中,公司面臨的最大障礙就是高階主管認為網路安全很容易,而網路安全的威脅和問題被誇大了。缺乏預算位居第二,再者是難以補齊網路安全所需的角色。
Sophos 全球解決方案工程師 Aaron Bugal 表示:「研究中發現了一種令人不安的態度,而這需要正面解決 – 高階主管認為網路安全事件被誇大了。即使我們在 2020 年底看到全球供應鏈受到的攻擊非常嚴重,這種漠視的態度仍然非常普遍。此外,最近主流電子郵件平台又被發現了零時差漏洞,說明了在網路安全方面需要上下一心,每個人都需要付出心力並發揮作用,我們都需要了解風險。」
產業技術人力短缺仍是挑戰
2021 年網路安全技能不足的缺口已經稍有改善。近 60% 的企業認為缺乏網路安全技能將對企業造成挑戰,而 2019 年時為 62%。
缺乏合適的員工和預算受限,仍然妨礙企業獲得所需的內部技能。62% 的公司很難招募到具備必要技能的員工,與 2019 年的 67% 相比僅略減了 5%。
COVID-19 加快遠距工作的轉型但仍存在漏洞
COVID-19 對網路安全帶來了正面的影響。有 69% 的公司同意 COVID-19 爆發是過去一年來升級網路安全政策和工具的最強催化劑。但同時,一半以上的組織表示,他們對疫情爆發時突然需要的安全遠距工作沒有做好充分準備。
Trevor Clarke 表示:「COVID-19 迫使公司必須更新網路安全策略,但是轉型成遠距工作也暴露了其他弱點。企業已經改變工作環境、加快數位化轉型,但還是面臨著系統性的網路安全問題,包括高階主管漠視、預算低下和缺乏熟練的網路安全專業人員。
「儘管稍有改進但仍嫌緩慢,這進一步強化了我們的信念,意即從技術和文化的角度來看,網路安全永遠不會『完成』,並需持續努力。」