近日,《2023年全球数字信任洞察调查报告》(the 2023 Global Digital Trust Insights)发布。该报告调研了全球60多个地区的不同行业,共计3522名业务、安全和信息技术领域领导者,介绍了2023年的网络安全领域新挑战、CISO的工作与价值(本文要点),结合现实编写了企业高管层网络安全手册,并厘清了网络安全的具体需求场景及解决方案,为企业应对全球数字信任挑战提供了可行的发展计划。

摘译 | 李秋娟/赛博研究院实习研究员

来源 | PwC

随着数字化的深入发展,领导者将自身和公司推到了舒适区之外:走出办公室,来到偏远的工作场所、上云、建设数字化供应链。

伴随创新而来的是愈演愈烈的网络风险——网络安全已成为一个动态领域,正在跟随商业的创新步伐进行迅速的调整和转变。在企业内,CISO(首席信息安全官)也正抓住主动权,与企业高管层和董事会开展合作,以获得真正的领导地位。

01 商业新世界,网安新进展

CISO和网络团队已经开始迎接挑战。归功于不断的网络安全投入和高级管理层的协作,在3千多名受访者中,超过70%的人观察到网络安全环境在过去一年中有所改善。具体进展包括

  • 改进了运营技术的安全性(79%的受访者持此意见)

  • 提高了抵御勒索软件的能力(77%)

  • 帮助将业务设计“安全和隐私”融入新产品和服务中(75%)

  • 提高了网络资源的价值和利用效率(75%)

  • 改进了与运营、工程部门的合作(73%)

  • 有效应对了漏洞或攻击,同时确保不会对企业的运营造成重大干扰或损害(72%)

  • 成功预测与数字化计划相关的新型网络风险,并在其危害合作伙伴或客户之前进行管理(71%)

  • 改进了供应链风险管理技术(70%)

  • 协调跨职能部门,遵守新法规(70%)

  • 检测到业务相关的重大网络威胁,成功防护其对运营的攻击(70%)

02 如何评价CISO及网络安全团队

在上述10项进展中,不同职位的企业高管对CISO及网络安全团队的评价如下:

首席执行官(CEO)表示,CISO在网络风险防范方面取得优异成果的可能性是他们的3倍。近8%的人认为CISO在迅速应对威胁、协助企业合规监管、预测未来网络风险、加快企业数字化转型、维护客户信任等所有调查项上都具有优秀的表现。

首席风险官/首席运营官(CRO/COO)表示,CISO在网络风险防范方面取得优异成果的可能性是他们的2倍。超过5%的人表示,CISO在网络风险防范方面取得优异成果的可能性是他们的3倍。近8%的人认为CISO在所有调查项上都具有优秀的表现。

首席市场官/首席数据官/首席隐私官(CMO/CDO/CPO)表示,CISO在网络风险防范方面取得优异成果的可能性是他们的2.5倍。他们对CISO培养消费者信任的能力充满信心。

03 CISO:五项网络能力需提升

随着数字化的发展,未来将有更多的互联系统、成倍增长的数据和不断扩大的网络风险。在严峻的经济环境中,企业高管和CISO团队还有更多的工作要做。

为此,受访者认为有必要加强“识别、保护、检测、响应和恢复”(Identify, Protect, Detect, Respond, Recover)五项基本网络能力的成熟度(源于美国国家安全与技术研究所[NIST]网络安全框架)。但只有3%的受访者认为他们的企业在五个方面都实现了优化。

04 2023年网络威胁和事件类型预测

报告显示,高管对企业应对日益严重网络威胁的准备充分性表示担忧。在2023年的企业网络威胁预测中,网络犯罪活动位居榜首(65%)。另外:

  • 38%的受访者预计2023年会发生更严重的云攻击。攻击者利用公司面向互联网的云托管应用程序中的错误配置,窃取用户数据并在黑市上出售。其后果包括:攻击者向数据所有者发出高昂的勒索通知,消费者可能对该公司提起集体诉讼,企业声誉将受到严重影响。

  • 29%的受访者预计运营技术(OT)攻击会增加。由于遗留系统缺乏补丁管理、监控和检测能力,所以操作系统中存在未被发现的漏洞。黑客利用该未修补的漏洞注入勒索软件,使制造系统受到勒索软件影响。其后果包括:为避免攻击蔓延,受影响的系统可能被迫关闭,导致生产停止、整个供应链因受到波及而瘫痪。

与此同时,网络事件报告义务给企业带来的压力越来越大。在欧洲,欧盟网络安全局(ENISA)要求关键服务提供商在发生任何重大网络安全事件时应当向有关机构报告。

美国证券交易委员会(SEC)正在考虑推行一项规则,要求上市公司披露其网络风险管理、治理战略和重大网络事件。根据2022年3月出台的《2022年关键基础设施网络事件报告法》(CIRCIA)授权,拟议的美国网络安全和基础设施安全局(CISA)规则草案同样要求在关键基础设施领域运营的公司在72小时内报告所发生的重大网络漏洞和攻击事件,并在支付赎金后的24小时内报告勒索软件名称等信息。

而在本次报告中,仅有9%的受访者认为其企业符合所有的披露要求。因为大多数高管表示,他们目前不仅要应对灾难性的网络攻击,还要承担全球经济衰退、健康危机、持续通货膨胀和供应链瓶颈所带来的压力。

声明:本文来自赛博研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。