2017年10月底,普华永道pwc发布了2018年的全球信息安全状况调查分析报告。在12月份,pwc中国发布了中国区的调查结果。
调查报告表示,随着一系列新技术的崛起,人工智能、物联网、RPA / IPA、区块链、大数据分析、云以及增强现实 /
虚拟现实等正进一步颠覆全球商业格局。中国在物联网发展和应用上处于世界领先地位,随之而来的冲击也会更多。在中国营商的企业需要及时适应当地市场的高速发展变化,保持竞争力。在中国的许多企业,尤其是科技为先的企业,对于网络安全的潜在威胁反应越来越敏捷,因为他们有很强的意识,持续保护其网络安全,期望先发制人,通过预防来降低风险。
调查显示,在中国大陆及香港地区,有4点发现:
1)中国内地与香港的企业在网络安全方面的平均投入比全球数值高出近四分之一;
2)72%的中国内地与香港受访企业表示其针对物联网安全的战略已经就位,这一数值高于全球水平(67%);
3)中国内地与香港有46%受访者表示客户数据泄露是最直接影响, 财务损失(38%)和商业邮件入侵(36%)紧随其后;
4)在中国内地与香港有47%的IT服务是通过云交付的,而全球平均水平是50%。
这是什么情况?看了以上数据,我们会觉得中国用户在网络安全投入和规划水平还挺高的啊。这根之前IDC发布的2018年中国网络安全市场预测存在很大的差别啊。难道真的像某些人说的,“不要预测中国市场”吗?一个解释是调研和统计的口径不同,可能pwc调研的中国客户大都是比较先进的客户。另外,也许是视角的不同——客户视角和市场视角。譬如,预算高,并不代表市场就大,这其中还有一个落地的过程,包括在当前激烈的市场竞争条件下低价竞争导致的不良后果。
回到全球视角。
pwc的全球报告提到了四个关键发现:
1)数字化设备的增长促使风险管理需求增加,尤指IoT。67%的受访者表示有IoT战略;
2)商业领导人看到了新兴技术伴生的新风险。在被问及针对自动化和机器人系统的网络攻击可能造成的严重后果方面,40%的受访者认为首当其冲的是操作失控,39%的人选择了敏感数据的丢失或泄漏,32%的人认为对生产出来的产品品质有损,29%的人认为会对物理资产造成破坏,还有22%的人认为会造成人身伤害。
但尽管有这样的意识,很多企业依然没有做好充分的对应攻击的准备。48%的受访者表示他们没有员工安全意识培训计划,54%的人说他们没有事件应急响应流程。
3)对破坏数据完整性的网络威胁的忧虑加深。35%的信息泄露事件是客户信息失窃,30%的比例是雇员信息失窃,内部资料失窃的比例是29%。
4)在职员工依然是安全事件的最大来源,占30%;高于离职员工(26%),未知黑客(23%),竞争对手(20%),合作第三方(19%)。
pwc的这份报告,旁征博引,引用了大量第三方权威报告来佐证自己的观点。有时候看引用的文章比看报告本身更有趣。
pwc呼吁建立安全弹性【是的,现在人们都爱使用“弹性”这个高大上的名词】。
如何构建安全的弹性?pwc提议:
1)领导人必须承担更大的建设网络弹性的责任;
2)组织必须深挖潜藏的风险;
3) 高管们必须担起责任,董事会必须参与其中;
4)把追求安全弹性看成是为了获得回报,而非仅仅是为了规避风险;
5) 有目的地合作和利用经验教训;
6)对相关的事务进行压力测试;
7)更多地关注涉及数据操纵和破坏的风险
【参考】