時事熱話
企業策略・可持續發展・商事動態・大中華時事・專題・本港時事・環球時事

網絡保安準備不足 企業欠缺安全意識


最近肆虐全球的勒索軟件WannaCry及Petya只是冰山一角,企業需明白到全面的防禦和偵測系統及網絡保安程序的重要性。

相信企業普遍都知悉網絡安全的重要性,更會尋求網絡安全專家協助,但原來有不少企業在網絡安全準備方面只處於基礎階段。網絡安全管理服務供應商Quann近日與市場研究公司IDC共同發表《Quann 2017網絡安全終端用家調查報告》,結果顯示,受訪企業在網絡安全設備、危機意識,以及在預防網絡攻擊所投放的資源及準備等範疇上均有明顯的不足。

 

即使大部分受訪香港企業已配備防火牆及防毒軟件等基本保安系統,但仍有過半(百分之六十一)受訪者指出,其工作機構並未有設置可偵測異常情況及作出預警的智能網絡安全系統或網絡安全事故管理系統。另外,有百分之六十六受訪者表示,其工作機構並未有設立可作保安事故前期監控、分析及制定應對措施的安全操作中心(SOC)或專責團隊。

 

是次《Quann 2017 網絡安全終端用家調查報告》訪問了來自新加坡、香港及馬來西亞三個地區,共一百五十位於中型至大型企業工作的資深IT技術人員,以深入了解該等企業於網絡安全的對策,以及預防網絡攻擊的措施和監測漏洞等方案。

 

Quann 董事總經理符祥智認為,不少企業縱使面對明顯的威脅,但並未有在網絡安全上投放足夠資源。在安全措施、專業服務及員工培訓上缺乏投資均會大大增加企業被黑客攻擊的機會。最近肆虐全球的勒索軟件WannaCry及Petya只是冰山一角,企業需明白到員工完成培訓、配備強大、全面的防禦和偵測系統及網絡保安程序的重要性,以應付突如其來的攻擊,並減輕相關攻擊事件所帶來的影響。

港企欠網絡安全措施

企業缺乏適當的監督系統及應變方案,意味即使保安系統偵測到任何異常情況,亦有機會令惡意程式長期潛藏於系統中不被發現而造成損害。「企業應考慮與經驗豐富的網絡安全服務供應商合作,一同制定、建立並管理設備完善的全天候安全操作中心,確保能即時偵測到病毒或其他安全威脅,迅速採取應對措施。除此之外,企業亦可考慮與網絡安全管理服務供應(MSSP)合作,進行全天候監察、定期的漏洞評估、滲透測試,以及事故應變及協調工作。」

 

報告指出百分之四十四的受訪香港企業並無制定有效保護網絡系統及重要資料的應對方案,或等待事件發生後才作出反應。只有五分之一(百分之二十)的企業曾進行網絡事故應對方案的演習。

 

企業內的非IT員工通常被視為網絡安全中最弱的一環,並經常成為網絡罪犯的攻擊目標,但只有三分之一(百分之三十二)的受訪香港企業要求包括行政總裁在內的全體員工進行網絡安全意識的培訓。

網絡安全人手從缺

大部分(百分之九十)香港受訪企業並無特定的網絡保安預算及計畫,百分之四十四受訪香港企業表示,他們雖然有網絡保安領導一職,但該員工需同時兼顧其他工作,並非專責網絡安全。大部分企業亦無提供全天候網絡保安支援,百分之三十二的受訪企業只在辦工時間內提供支援,而百分之十二則在工作週內提供支援。有鑑網絡安全攻擊的發展速度不斷倍升,企業必須投放更多資源在網絡安全的項目上,增加監測頻率及擴大網絡安全培訓的規模,以應付日新月異的網絡威脅。

 

報告亦顯示高級領導層在制定網絡安全策略的參與水平偏低。大部分(百分之八十三)的受訪香港企業表示有諮詢安全管理人員,但只有百分之十二的企業會邀請安全管理人員參與常規領導層會議,讓企業的高級領導層參與風險評估。

 

IDC亞太區IT安全業務副總裁Simon Piff指,並非所有亞洲區高級領導層都熟悉網絡安全的策略,並作出適當的投資,網絡保安上的投資就如同投資軍備,往往都是希望沒有機會用到的。企業需要明白網絡安全不是一項有立即回報的商業投資,但如果不採取積極的措施,或會導致更嚴重的影響,例如法律糾紛、顧客不滿,甚至流失各階層的員工。

Related Articles