近日,，英國(guó)科學(xué)技術(shù)部發(fā)布了《2023年企業(yè)網(wǎng)絡(luò)安全合規(guī)調(diào)查報(bào)告》（ Cyber Security Breaches Survey ），對(duì)英國(guó)所有企業(yè)和社會(huì)性組織目前的網(wǎng)絡(luò)威脅態(tài)勢(shì)和合規(guī)建設(shè)進(jìn)行研究,，同時(shí)也就如何提升新一代網(wǎng)絡(luò)應(yīng)用的合規(guī)性給出專業(yè)性建議,。研究人員發(fā)現(xiàn)，由于當(dāng)前不利的經(jīng)濟(jì)環(huán)境,，英國(guó)很多中小型企業(yè)及組織的管理者開始降低對(duì)網(wǎng)絡(luò)安全的重視度,，有29%的受訪企業(yè)/組織表示不會(huì)將保障網(wǎng)絡(luò)應(yīng)用合規(guī)與安全作為其優(yōu)先處理的事項(xiàng)。

報(bào)告研究認(rèn)為,，由于網(wǎng)絡(luò)應(yīng)用違規(guī)導(dǎo)致的安全攻擊仍然是企業(yè)組織面臨的主要威脅之一,。與去年相比，中小型企業(yè)組織所報(bào)告的攻擊和違規(guī)數(shù)量有所減少,，但是這并非意味著企業(yè)組織的安全態(tài)勢(shì)開始好轉(zhuǎn),，而是可能反映出，一些企業(yè)的高級(jí)管理者降低了對(duì)網(wǎng)絡(luò)安全的重視度,，因此縮減了對(duì)違規(guī)網(wǎng)絡(luò)應(yīng)用或安全攻擊活動(dòng)的監(jiān)控要求,。

• 研究發(fā)現(xiàn)，32%的受訪中小型企業(yè)組織表示過(guò)去12個(gè)月發(fā)生過(guò)數(shù)據(jù)泄密或安全攻擊事件,，相比中型企業(yè)（59%）和大型企業(yè)（69%）的調(diào)研比例要低得多,；

• 研究發(fā)現(xiàn)，英國(guó)企業(yè)所報(bào)告的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件同比下降,，這種下降趨勢(shì)主要是由中小型企業(yè)推動(dòng)的,，而大中型企業(yè)的調(diào)研結(jié)果與去年基本持平；

• 研究人員認(rèn)為,，在過(guò)去12個(gè)月里,，所有企業(yè)的網(wǎng)絡(luò)應(yīng)用違規(guī)行為平均成本約為1100英鎊,；而大中型企業(yè)的平均成本為4960英鎊； 

• 研究發(fā)現(xiàn),，將網(wǎng)絡(luò)安全列為優(yōu)先事項(xiàng)的組織比例已從2022年的82%下降到今年的71%,。數(shù)據(jù)表明，相對(duì)于通脹和不確定性等廣泛的經(jīng)濟(jì)發(fā)展問(wèn)題,，網(wǎng)絡(luò)安全在中小型企業(yè)組織中的優(yōu)先級(jí)排序已經(jīng)下降,，有29%的企業(yè)認(rèn)為網(wǎng)絡(luò)安全工作是不需要優(yōu)先處理的事務(wù)。

【網(wǎng)絡(luò)安全優(yōu)先級(jí)在企業(yè)中的變化趨勢(shì)】

最常見的網(wǎng)絡(luò)威脅通常相對(duì)簡(jiǎn)單,，因此報(bào)告研究人員建議企業(yè)采用一套標(biāo)準(zhǔn)化的網(wǎng)絡(luò)安全措施來(lái)滿足基礎(chǔ)性的防護(hù)要求,。這些措施中最常見的手段包括更新惡意軟件補(bǔ)丁、云備份,、密碼應(yīng)用,、權(quán)限管理和部署防火墻。然而,，在近三年的調(diào)查中,，企業(yè)在某些領(lǐng)域的網(wǎng)絡(luò)衛(wèi)生水平呈現(xiàn)持續(xù)下降的態(tài)勢(shì)，主要包括：

• 是否使用了密碼管理策略（2021年為79%,，2023年為70%）,； 

• 是否使用了網(wǎng)絡(luò)防火墻（2021年為78%，2023年為66%）,；

• 是否進(jìn)行了統(tǒng)一的身份和權(quán)限管理（2021年為75%,，2023年為67%）； 

• 是否會(huì)在14天內(nèi)進(jìn)行應(yīng)用軟件的安全更新與補(bǔ)丁修復(fù)（2021年為43%,，2023年為31%）,。

盡管這些趨勢(shì)主要是由于中小型企業(yè)的網(wǎng)絡(luò)安全應(yīng)用變化所引起，但是未來(lái)大型企業(yè)的合規(guī)態(tài)勢(shì)發(fā)展同樣值得高度關(guān)注,。研究發(fā)現(xiàn),，大型企業(yè)組織相比中小型企業(yè)，董事會(huì)成員會(huì)更多參與公司的網(wǎng)絡(luò)安全治理工作,，并且管理方法相比中小企業(yè)更為復(fù)雜,，同時(shí)大型企業(yè)所報(bào)告的網(wǎng)絡(luò)風(fēng)險(xiǎn)也更少。

• 研究發(fā)現(xiàn),，近30%的受訪企業(yè)表示,，其董事會(huì)成員或受托人會(huì)直接參與網(wǎng)絡(luò)安全管理工作，這一比例在中型企業(yè)和大型企業(yè)中分別升至41%和53%,；

• 21%的中型企業(yè)和30%的大型企業(yè)聽說(shuō)過(guò)NCSC的董事會(huì)安全監(jiān)管工具包（Board Toolkit）,，這一比例在2020年（該工具包推出時(shí)）分別為11%和22%；

• 49%的中型企業(yè)、68%的大型企業(yè)和36%的高收入慈善機(jī)構(gòu)制定了正式的網(wǎng)絡(luò)安全戰(zhàn)略,。數(shù)據(jù)表明，制定該戰(zhàn)略的主要推動(dòng)因素來(lái)自政府監(jiān)管部門的壓力,、審計(jì)和商業(yè)并購(gòu)活動(dòng),。它也與網(wǎng)絡(luò)安全團(tuán)隊(duì)獲得運(yùn)營(yíng)獨(dú)立性（例如從IT部門分割出來(lái)）的調(diào)研數(shù)據(jù)高度吻合；

【制定網(wǎng)絡(luò)安全戰(zhàn)略的企業(yè)比例】

• 研究發(fā)現(xiàn),，阻礙了董事會(huì)更多地參與網(wǎng)絡(luò)安全工作的主要因素包括：缺乏知識(shí),、培訓(xùn)和時(shí)間。這凸顯了網(wǎng)絡(luò)安全人員在如何說(shuō)明網(wǎng)絡(luò)安全支出的必要性時(shí),，會(huì)面臨較大的挑戰(zhàn),。

報(bào)告研究發(fā)現(xiàn)，目前尋求外部網(wǎng)絡(luò)安全指導(dǎo)的英國(guó)企業(yè)比例保持穩(wěn)定,。然而,，仍然有大量的企業(yè)組織，包括一些大型企業(yè),，沒有積極按照政府監(jiān)管機(jī)構(gòu)給出的網(wǎng)絡(luò)安全建設(shè)指導(dǎo)方針開展安全建設(shè),，如網(wǎng)絡(luò)安全建設(shè)指南，以及政府認(rèn)可的Cyber Essentials標(biāo)準(zhǔn)或ISO 27001,。

• 49%的受訪企業(yè)組織表示,，在過(guò)去的一年里，他們從外部第三方機(jī)構(gòu)尋求網(wǎng)絡(luò)安全方面的信息或指導(dǎo),，最常見的是網(wǎng)絡(luò)安全咨詢顧問(wèn)和IT審計(jì)服務(wù),；

【尋求外部網(wǎng)絡(luò)安全指導(dǎo)的企業(yè)比例】

• 僅有14%的受訪企業(yè)知道“Cyber Essentials”網(wǎng)絡(luò)基本評(píng)估計(jì)劃，而中型企業(yè)和大型企業(yè)的調(diào)研比例分別為50%和59%,；

【了解Cyber Essentials計(jì)劃的企業(yè)比例】

• 只有9%的企業(yè)報(bào)告遵守了ISO 27001,，而在大型企業(yè)中，這一比例會(huì)更高（27%）,；

【遵守PCI DSS,、ISO 27001和NIST標(biāo)準(zhǔn)的企業(yè)比例】

• 調(diào)查結(jié)果表明，企業(yè)尋求外部認(rèn)證的主要因素可能源于其客戶的要求,。對(duì)于組織來(lái)說(shuō),，使用第三方安全服務(wù)是一種便利的方式，可以快速生成一套關(guān)于其網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的標(biāo)準(zhǔn)化文檔,，并加速其員工的網(wǎng)絡(luò)安全意識(shí)培養(yǎng),。

報(bào)告研究發(fā)現(xiàn)，雖然絕大多數(shù)受訪企業(yè)組織表示,，他們會(huì)在網(wǎng)絡(luò)安全事件發(fā)生后采取行動(dòng)進(jìn)行響應(yīng)和補(bǔ)救,，但實(shí)際上，只有少數(shù)組織已經(jīng)提前制定了支持這一行動(dòng)的事件響應(yīng)計(jì)劃和流程。對(duì)大多數(shù)企業(yè)組織而言,，如果提升其網(wǎng)絡(luò)安全事件響應(yīng)能力是一個(gè)需要持續(xù)改進(jìn)的領(lǐng)域,。

• 近40%的受訪企業(yè)和機(jī)構(gòu)表示，最常見的網(wǎng)絡(luò)安全事件響應(yīng)流程就是為個(gè)人分配特定的角色和責(zé)任,，并對(duì)外部報(bào)告和內(nèi)部報(bào)告進(jìn)行指導(dǎo),；

• 只有21%的受訪企業(yè)表示已經(jīng)制定了網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃，而這一比例在中型企業(yè)中上升到47%,，在大型企業(yè)中上升到64%,；

• 定性調(diào)查結(jié)果表明，另一個(gè)潛在改進(jìn)的領(lǐng)域是,，在事件響應(yīng)方面,，IT或?qū)I(yè)網(wǎng)絡(luò)團(tuán)隊(duì)與更廣泛的員工（包括管理委員會(huì)）之間的相對(duì)脫節(jié)。彌合這一差距需要IT團(tuán)隊(duì)和更廣泛的員工之間良好,、定期的溝通,。事后審查也被視為讓更多員工參與網(wǎng)絡(luò)安全的一種方式。

在英國(guó),，網(wǎng)絡(luò)攻擊活動(dòng)是否屬于網(wǎng)絡(luò)犯罪行為,，主要是根據(jù)1990年頒布的《計(jì)算機(jī)濫用法》（Computer Misuse Act 1990）和英國(guó)內(nèi)政部頒布的《計(jì)數(shù)規(guī)則》（Home Office Counting Rules）來(lái)判斷。在今年的調(diào)研中,，研究人員發(fā)現(xiàn)企業(yè)組織在定義其所經(jīng)歷的違規(guī)或攻擊活動(dòng)是否屬于網(wǎng)絡(luò)犯罪時(shí),，面臨一些新的問(wèn)題和困難。

• 調(diào)查結(jié)果顯示,，網(wǎng)絡(luò)犯罪在大型組織中更為普遍,，盡管這也可能由于小型組織缺乏事件發(fā)現(xiàn)能力或故意瞞報(bào)的結(jié)果；

• 在過(guò)去的12個(gè)月里,，共有11%的企業(yè)組織經(jīng)歷過(guò)網(wǎng)絡(luò)犯罪,，其中中型企業(yè)的比例為26%，大型企業(yè)為37%,。而從另一個(gè)角度來(lái)看,，共32%的企業(yè)發(fā)現(xiàn)了網(wǎng)絡(luò)安全違規(guī)或攻擊行為，但其中僅約三分之一的事件最終被定義為網(wǎng)絡(luò)犯罪活動(dòng),；

【過(guò)去一年經(jīng)歷過(guò)網(wǎng)絡(luò)犯罪的企業(yè)比例】

• 據(jù)研究人員估算,，在過(guò)去12個(gè)月里，所有英國(guó)企業(yè)共遭受了239萬(wàn)起網(wǎng)絡(luò)犯罪攻擊,，其中大約有4.9萬(wàn)起網(wǎng)絡(luò)犯罪導(dǎo)致了實(shí)際的欺詐損失和后果,；英國(guó)企業(yè)每年因網(wǎng)絡(luò)犯罪造成的平均損失約為1.53萬(wàn)英鎊/人。

在本次報(bào)告中,，研究人員再次強(qiáng)調(diào)了各種規(guī)模的企業(yè)組織,，都應(yīng)該重視并積極改進(jìn)網(wǎng)絡(luò)應(yīng)用的合規(guī)性和安全性：

研究結(jié)果表明,，IT技術(shù)人員或安全團(tuán)隊(duì)?wèi)?yīng)該與各個(gè)業(yè)務(wù)部門建立良好、持續(xù)的溝通,，因?yàn)楣噍斠环N常態(tài)化的安全意識(shí)需要依賴于雙向反饋,，即員工報(bào)告可疑活動(dòng)，并聽取安全專家反饋的專業(yè)建議,。它還要求安全團(tuán)隊(duì)與企業(yè)管理層建立信任關(guān)系,，這種方法是開展有效網(wǎng)絡(luò)安全建設(shè)工作的基礎(chǔ)。

近年來(lái)的SolarWinds和GoAnywhere零日漏洞,，不斷向企業(yè)印證了密切關(guān)注第三方軟件供應(yīng)鏈安全的重要性。因?yàn)闊o(wú)論企業(yè)自己的網(wǎng)絡(luò)防御能力有多強(qiáng)大,，合作伙伴的安全漏洞也會(huì)同樣導(dǎo)致防護(hù)體系的崩潰,。

目前，很多大型企業(yè)都采取了行動(dòng)審查第三方供應(yīng)商的網(wǎng)絡(luò)風(fēng)險(xiǎn),。然而,，這種審查在中小企業(yè)中還并不常見，企業(yè)仍然缺乏對(duì)供應(yīng)鏈風(fēng)險(xiǎn)的認(rèn)識(shí),。研究表明,，通過(guò)開展IT審計(jì)、客戶要求和監(jiān)管部門安全檢查等措施,，將會(huì)推動(dòng)企業(yè)將更正式的供應(yīng)鏈安全管理流程落實(shí)到位,。在此之前，企業(yè)應(yīng)該準(zhǔn)備好勒索軟件緩解清單和網(wǎng)絡(luò)事件響應(yīng)計(jì)劃,，并通過(guò)定期的網(wǎng)絡(luò)攻擊桌面演習(xí)來(lái)優(yōu)化這些網(wǎng)絡(luò)安全政策和程序的有效性,。

報(bào)告顯示，盡管大多數(shù)組織聲稱他們會(huì)采取一系列措施來(lái)響應(yīng)網(wǎng)絡(luò)安全事件,，但這些措施往往沒有形成標(biāo)準(zhǔn)化的流程和制度,。在安全事件真正發(fā)生時(shí)，企業(yè)會(huì)陷入混亂,，安全人員也不知道該扮演什么角色,。

隨著網(wǎng)絡(luò)犯罪導(dǎo)致的損失不斷飆升，企業(yè)減輕損失的唯一方法是進(jìn)行更充分地準(zhǔn)備和響應(yīng),。遺憾的是,，一些中小型企業(yè)組織因?yàn)榻?jīng)濟(jì)不景氣等因素而降低了對(duì)網(wǎng)絡(luò)安全的重視程度，一旦受到攻擊,，其結(jié)果可能是災(zāi)難性的,，不僅要承擔(dān)從攻擊中恢復(fù)的成本，還可能面臨巨額監(jiān)管處罰和商譽(yù)損失,。

在當(dāng)今復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境中,，企業(yè)應(yīng)該充分認(rèn)識(shí)到網(wǎng)絡(luò)安全是不可或缺的，任何組織都可能會(huì)受到攻擊。因此,，必須提前為可以出現(xiàn)的最壞情況做好準(zhǔn)備,，制定一個(gè)良好的網(wǎng)絡(luò)事件響應(yīng)計(jì)劃，并為關(guān)鍵決策者提供有效的能力培訓(xùn)和權(quán)限,。

https://www./government/statistics/cyber-security-breaches-survey-2023/cyber-security-breaches-survey-2023