【過度自信】Kroll網絡風險報告　指CFO對潛在網絡風險缺乏認知

【過度自信】Kroll網絡風險報告　指CFO對潛在網絡風險缺乏認知

風險和財務諮詢解決方案獨立供應商德安華（Kroll）發表題為《過度自信代價高昂》的 2022 年網絡風險與 CFO 報告，發現財務總監（CFO）對其公司應對網絡安全事故的能力充滿信心，但對公司面臨的潛在網絡風險缺乏認知。

焦點數據：

－ 87% 財務總監對其企業應對網絡攻擊能力很有信心或非常有信心
－ 71% 受訪者所屬機構過去 18 個月曾因網絡事故，蒙受逾 500 萬美元經濟損失
－ 45% 受訪者計劃提高至少 10% 投放於資訊保安的整體資訊科技預算

Kroll 委託 Industry Dive StudioID，訪問全球 180 名財務總監、行政總裁及其他高級財務主管，近 60% 來自北美，20% 來自歐洲、中東和非洲，以及 20% 來自亞太地區。

報告顯示，儘管網絡攻擊時有發生，但亞太區的財務總監們，卻鮮少接獲公司資訊保安團隊匯報相關風險或議題，反映 CFO 在網絡規劃方面並不知情。

報告提到，雖然 CFO 對網絡攻擊的能力充滿信心，但他們對網絡風險潛在問題的可視性並不相符。每 10 名受訪者中，只有 4 人會與他們的網絡安全團隊定期溝通。

61% 機構於過去 18 個月，遭受至少三次重大網絡安全事故。受訪中 82% 高層指過去 18 個月，其公司估值曾在經歷最嚴重的網絡安全事故後，下跌 5% 或以上。

CFO 如何應對?

調查中近一半管理層（45%）將用於信息安全的 IT 預算，增加 10% 以上，這表明 CFO 需花費比他們預測更多預算。對於外判網絡安全服務，近一半受訪者將增加超過 10% 支出。

對許多公司而言，疫情嚴重打擊網絡安全預算，因安全問題變得過於困難，且成本高昂，無法內部處理。外判 CISO （安全主管）和虛擬 CISO 諮詢服務，可協助公司制定預防、檢測和舒緩網絡威脅的策略，作為一項持續或臨時服務，直至成功聘請 CISO。

BEC 成重大網絡事件主因

從攻擊者角度來看，Business Email Compromise（商務電子郵件入侵，BEC）是一種相對容易的騙局，這類騙局不需要復雜的編碼或惡意軟件，門檻低之餘，成功率亦很高。

BEC 本身難以防禦，雖可部署技術防禦措施，但最有效的安全預防措施，是在員工中建立對這類型詐騙的認識。

報告建議企業使用四招防止 BEC：

1.       避免過度分享
小心在網上或社交媒體上分享信息，不要點擊未經請求的更新或驗證帳戶信息。

2.       設立驗證要求
例如不要使用潛在詐騙者提供的電話號碼，並確定請求是否合法。

3.       謹慎行事
仔細檢查電子郵件地址、URL 等，切勿開啟來自未知發件人的電子郵件附件，並對緊急請求持懷疑態度。

4.       使用MFA
在允許的情況下，設置多重身份驗證，即使憑據被盜，攻擊者也更難獲得帳戶訪問權限。

報告提到，儘管媒體大量報導，但組織似乎較少受到勒索軟件攻擊。在過去 18 個月，只有 33% 的人表示攻擊源自勒索軟件，為所有網絡威脅中最少。

Kroll 網絡風險執行董事 James McLeary 表示 ︰ 「調查揭示網絡安全事故在亞太區更為普遍，這可能使財務總監們對其企業應對網絡攻擊的能力更具信心。耐人尋味的是，儘管網絡攻擊時有發生，但亞太區的財務總監們，卻鮮少接獲公司資訊保安團隊匯報相關風險或議題，這或許說明亞太地區的企業架構較為不同，網絡安全和財務部門一般互為獨立。」

從調查結果來看，CFO 在網絡規劃方面並不知情，他們需要多方面參與，如從模擬網絡攻擊的演習，至與 CISO 密切協調；在董事會層面的審計，以及與風險委員會提供建議和參與。網絡風險及其後果在不斷演變，CFO 也必須加深對網絡的了解。