Sophos 與研究機構 Tech Research Asia (TRA) 合作進行的《亞太地區和日本網路安全未來》第三版調查報告發現,儘管勒索軟體的發生率、影響和成本不斷上升,但企業高層缺乏對網路安全的認識,並普遍認為公司永遠不會受到攻擊。
網路安全教育須從高層開始
儘管過去一年亞太地區和日本 (APJ) 的企業在網路安全支出和成熟度方面有所提升,但只有 40% 的受訪公司認為經營團隊真正了解網路安全。最令網路安全專業人員氣餒的,是經營團隊和高階主管認為自身企業永遠不會受到攻擊。
60% 的受訪者亦為網路安全廠商沒有提供教育高階主管所需的資訊,88% 的公司同意未來 24 個月最大的安全挑戰將是提升員工和經營團隊的警覺性和教育。
持續進行教育和宣傳,可以解決日本地區與亞洲企業最在意的兩個攻擊管道:網路釣魚或網路捕鯨攻擊(phishing and whaling),以及員工憑證薄弱或遭駭的問題。
Sophos 亞太地區和日本全球解決方案工程師 Aaron Bugal 表示:「勒索軟體攻擊變得越來越複雜,企業需要一個真正且可執行的網路安全教育計畫。目前我們在網路安全策略方面看到的循環是『被攻擊、改變、被攻擊、改變……』,這對網路安全團隊是不利的。提升優先事項的重要性必須從企業最高層開始,並且需要高階主管的帶領,包括對整個企業進行安全認知和教育。」
人才短缺繼續造成嚴重問題
人才短缺仍然是該地區企業的關注重點。73% 的受訪公司預計在未來 24 個月不容易招聘到網路安全員工;26% 的人預計會遇到重大挑戰。
隨著招聘不易,企業也紛紛訂出他們認為需要優先增加人員和能力的領域。包括:
- 雲端安全政策和架構
- 「教育」員工和高階主管的網路安全培訓技能
- 軟體弱點測試
- 及時了解最新威脅
- 政策合規性和報告
網路安全專業人員的最大挫折
該調查還強調,網路安全專業人員面臨著各種挑戰和挫折,其中大部分與安全意識、洞察力、資訊傳遞和教育有關。而三個最感到挫折的地方是:
- 高階主管和經營團隊不了解攻擊的可能性,並且沒有做出適當的反應
- 缺乏有經驗的安全專家
- 高階主管過度依賴「恐懼和懷疑」的資訊,難以教育
網路安全專業人員遇到的其他挫折包括:
- 高階主管認為無法阻止攻擊
- 無法跟上安全威脅的腳步
- 沒有足夠的投資和時間來培訓一般員工
Bugal 表示:「今年,網路安全專業人員還是受到許多挫折,許多人覺得他們的警告和資訊被置若罔聞。除了缺乏熟練的安全專家外,其實只要從高階主管和經營團隊層面開始著手,教育和警覺性計畫可以克服掉許多其他挫折。網路安全專業人員面臨的挑戰,是公司經營者不夠了解安全性,因此比較不會投資必要的計畫來緩解這些問題。
「問題不在於技術,而在於教育。除非企業能由上而下地了解網路攻擊對企業能力、客戶和本身造成的嚴重威脅,否則增加網路安全支出將無濟於事。」
網路安全教育是重中之重。以下是幫助企業加快網路安全教育的五個步驟:
- 幫助經營團隊了解不可能保護一切,要學會優先考慮最需保護的關鍵資訊、資料和系統。
- 應向所有員工提供關於基本原則、攻擊的真實面貌、攻擊管道、威脅行為者和其他術語的培訓課程。
- 一旦明確定義了這些基礎,企業就需要制定策略並與整合數位轉型計畫。
- 然後,讓企業變得更具回應能力:套用法規、違規回應協議、贖金支付政策、缺口評估,以及未來的角色和義務。
- 企業需要清楚地了解合規性、營運的監管環境、違規時的法規要求為何,以及資料安全和管理的適當控制措施。