當下，企業(yè)之間的聯(lián)系變得空前緊密，這種聯(lián)結性使得企業(yè)面臨遭受網絡攻擊的極高風險。 創(chuàng)新型企業(yè)能夠大膽假設未來可能發(fā)生的威脅并構建敏捷的網絡安全體系，從而適時做出快速響應。 中國企業(yè)除了應對各類攻擊與威脅，還須及時跟進與了解日益嚴峻的監(jiān)管要求，關注合規(guī)風險。

企業(yè)聯(lián)結被網絡攻擊風險高

2018年3月27日，《安永第20屆全球信息安全調查報告（GISS）：重鑄網絡安全，直面網絡攻擊》正式發(fā)布。該報告是安永持續(xù)第20年發(fā)布的全球信息安全調查報告，旨在探索當今企業(yè)所面對的最重要網絡安全議題。調查結果顯示，企業(yè)之間的聯(lián)系變得空前緊密，這種聯(lián)結性使得企業(yè)面臨遭受網絡攻擊的極高風險。

安永調查表明，大部分企業(yè)均在不斷增加網絡安全方面的支出，超過90%的受訪者表示他們預計今年會在這方面有更高的預算，高于去年的55%。網絡威脅的日益增加要求企業(yè)給出更為積極的響應，87%的受訪企業(yè)表示需要超過50%的預算上浮，但僅有12%的企業(yè)預計實際漲幅將超過25%。相比于全球約4%受訪企業(yè)中選擇降低網絡安全預算，中國（包括大陸、香港、澳門和臺灣）所有的受訪企業(yè)在過去12個月以及未來12個月內均保持或增加預算。

本次調查就網絡安全管理工作最迫切的關注點，對近1,200名來自全球規(guī)模最大、最為知名企業(yè)的C級管理人員進行了調研訪談。

安永全球信息安全咨詢服務主管Paul van Kessel談到：“新技術所帶來的緊密聯(lián)結性和新浪潮在創(chuàng)造巨大機會的同時，也給企業(yè)引入了新的風險。不僅是數據和隱私容易遭受攻擊，物聯(lián)網的應用將企業(yè)的運營科技暴露給攻擊者，使攻擊者有機會中斷或破壞工業(yè)控制等系統(tǒng)。因此，隨著企業(yè)逐漸進入數字化時代，他們必須從各個角度審視自己的數字生態(tài)系統(tǒng)，以保護他們當前、近期與未來的業(yè)務。近期最成功的網絡攻擊采用了常規(guī)方法，即利用企業(yè)已知漏洞。”

安永亞太區(qū)信息安全服務主管Richard Watson表示：“身處復雜且不斷變化的格局之中，企業(yè)很容易會一葉障目而無法顧全大局，因為網絡安全威脅常常被加以偽裝，隱藏于企業(yè)的視野之外，盡管所有企業(yè)都在董事會層面探討網絡安全，并作出巨額投資，但是他們并不清楚應該解決什么問題。”

應將信息安全納入當前戰(zhàn)略

許多受訪企業(yè)還認識到，缺乏充分的資源以落實適當網絡安全措施將使企業(yè)難以管理其面臨的風險，有56%的受訪企業(yè)表示，他們正在調整其戰(zhàn)略和規(guī)劃，以便將網絡威脅導致的風險納入考量，或者他們正打算在此基礎上重新審視其企業(yè)戰(zhàn)略。但是，有20%的受訪企業(yè)承認，他們尚未充分認識到對當前信息安全影響和漏洞進行評估的必要性。

安永大中華區(qū)信息安全主管阮祺康先生表示：“將信息安全影響充分納入當前戰(zhàn)略，并在其風險地圖中對相關網絡威脅、漏洞和風險加以考慮和監(jiān)控是十分具有前瞻意識的表現(xiàn)，并且也將是未來企業(yè)風險管理的新趨勢。將網絡安全置于企業(yè)戰(zhàn)略的核心地位有助于維持，甚至提高客戶、監(jiān)管方與媒體對企業(yè)的信任。”

中國企業(yè)認為最有可能被黑客攻擊

在如今的互聯(lián)世界里，企業(yè)都默認應用了數字化的模式。企業(yè)運營無處不體現(xiàn)著互聯(lián)網時代的文化特質、科技以及流程，廣袤的數字化藍圖使得企業(yè)占有或使用的每一項資產都是網絡中的一個節(jié)點。網絡攻擊者在這樣的環(huán)境中可能是無差別或具有高度針對性的攻擊者，攻擊著或大或小的、或公共或私營部門的組織。

2017年發(fā)生的多起勒索軟件事件對全球各企業(yè)造成極大影響。安永調查顯示全球有43%的受訪企業(yè)認為惡意軟件是其面臨的最大威脅，與釣魚郵件并列首位，明顯高于中國區(qū)的16%（惡意軟件）和12%（釣魚郵件）。

從漏洞角度來看，中國受訪企業(yè)表示最有可能的攻擊來源依次為黑客（54%），粗心的員工（50%） 和惡意員工（47%），這與全球的調查結果有著較大差異：粗心的員工（77%），犯罪集團（56%）和惡意員工（47%）。

宜打造層次分明的防御體系

安永信息安全服務合伙人胡立基提到：“企業(yè)可能會面對水平參差不齊的攻擊者，他們能夠也必須與之進行對抗。企業(yè)既要專注抵御那些最為常見或較容易應對的攻擊，同時也要有意識地采取細致入微的方法來應對那些高級和新興類型攻擊。鑒于某些攻擊不可避免地會影響企業(yè)的防御系統(tǒng)，因此企業(yè)同樣需要關注怎樣才能最快發(fā)現(xiàn)及修復這些漏洞，及其如何提高應對措施的有效性。”

55%的大中華區(qū)受訪企業(yè)表示在未來12個月中，將把數據防泄漏作為高優(yōu)先級的信息安全任務，而業(yè)務連續(xù)性/災難恢復（42%）和隱私保護（39%）緊隨其后，這三個領域都遠遠高于全球水平的11%，11%和20%。這與2017年6月1日起正式生效的《網絡安全法》密切相關，該法是中國境內首部涉及網絡安全的專門性綜合性法律，中國企業(yè)除了應對各類攻擊與威脅，還必須及時跟進與了解日益嚴峻的監(jiān)管要求，關注合規(guī)風險。

應有應對網絡漏洞危機的計劃

有人指出，企業(yè)的防御網絡遭到攻破，只是時間的問題，能夠認清這一點并在此基礎上運營的企業(yè)是明智的。如果企業(yè)具備一套能夠在發(fā)現(xiàn)漏洞時自動啟動的網絡漏洞響應計劃（CBRP），那么企業(yè)將會最大程度減輕網絡安全事件的影響。但是，CBRP必須覆蓋整個企業(yè)，而且必須由某個具有相關經驗和知識的人來管理企業(yè)在運營和戰(zhàn)略層面的響應。

安永信息安全服務合伙人顧卿華先生說：“我們相信，在未來，企業(yè)將會相互合作，共享信息，以提升網絡彈性。企業(yè)迫切需要將網絡安全視為一個重要的信息科技議題，并將重點放在設計和建設良好的網絡安全治理架構上面。”