【講錢傷感情】調查報告顯示 企業管理者僅口頭關注網絡安全
無論問哪個老闆或管理層,都一定會大大聲話網絡安全是重中之重!不過一講到錢就傷感情,有調查報告顯示,在英國的科技公司中,只有 1/3 人事部願意在未來 12 個月出一萬英磅去聘請網絡安全員工,或進行安全培訓。相比起被勒索軟件攻擊後動輒數十萬美元起跳的贖金,看來大家聲稱重視網絡安全,純粹只是口號。
有關網絡安全的話題近年愈來愈普及,原因之一在於新冠疫情期間,企業被逼快速引入各種遙距工作工具及雲端服務,不過由於員工要離開公司內部網絡工作,因此企業管理者都會關注網絡安全問題,以保障公司機密不致外洩。
另一方面,勒索軟件集團亦在這段時間冒起,事關不少企業 IT 管理員仍未熟悉遙距工作工具及雲端應用服務的運作,安全設定出錯令公司中門大開,因此不少國際大企業都在這段期間失守,例如美國燃油公司 Colonial Pipeline、IT 服務管理公司 Kaseya 等等,不單影響巨大,黑客勒索的贖金亦高達數以百萬美元。
早前 IBM 一份調查報告顯示,企業一旦遭受勒索軟件攻擊,損失平均約 500 萬美元!由於勒索軟件集團經常向傳媒報料,因此近年有關網絡攻擊事件便常被廣泛報導,照理說,企業管理者應該會盡量避免成為受害者而加強網絡安全防禦力。
不過,多份調查報告均顯示,企業老闆或管理者不願出資去提升網絡安全,除了上述由科技培訓公司 O’Reilly 進行的調查報告外,網絡安全公司 Savanti 亦在 10 月發表報告,指出雖然 83% 受訪企業將網絡安全放在最優先處理問題上,但少於一半受訪者有執行實際行動,而有做定期更新 IT 系統或審核安全環境等基本功夫的企業就更少。
此外,報告亦提及不少企業都有聘請 CISO 等管理層職位,但卻將他們視為 IT 部門專家,在涉及公司重大決定的會議上難有發言權,由於缺乏決策權及影響力,因此在報告內亦指出 CISO 的平均任職期只有 2.3 年。
由此可見,現時企業管理層對網絡安全仍是處於口頭關注程度,專家認為一來網絡安全難以量化成效,因此管理層寧願將資源投放在其他方面,例如提供一間會議室作安全培訓還比較容易看到效果。報告內指出如管理層仍無法走出這種思維,將難避免成為網絡攻擊的受害者,造成的損失,相信會是做好安全工作成本的數以十倍。
