普华永道的调查显示,离任雇员和竞争对手是企业信息安全事故的罪魁祸首。
11月26日,普华永道在北京、上海两地发布的全球信息安全状况调查显示,随着网络科技的发展,企业因信息安全遭遇的损失猛增。2014年,由检测到的信息安全事件所导致的中国大陆和香港企业的财务损失,平均每家受访企业激增33%,达到240万美元。高于亚太地区受访企业平均财务损失190万美元,但低于全球受访企业平均财务损失的270万美元。
但企业缺乏实施信息安全的策略,普华永道中国网络安全服务合伙人冼嘉乐表示,很多企业仍过多依赖外部执法机构对信息安全事件的识别和警告,而缺少企业自测。
调查显示,商业机密被窃取是企业信息安全事故的重要方式之一。普华永道针对全球财务损失的估算表明,全球因商业机密被窃取而产生的财务损失超过7490亿美元。其中,中国大陆与香港地区的财务损失超过300亿美元。
值得关注的是,调查显示,大型企业相对于中小型企业,更容易受到信息安全事件的攻击。其中,大型企业检测到的安全事故比去年增加了44%到13138宗,中型企业4227宗,小型企业1091宗。
分析认为,这是因为大型企业目标更大,员工众多、机构庞杂、合作机构多,更易成为被攻击对象。
那么谁是造成企业信息安全事故的罪魁祸首呢?有41%的中国大陆与香港受访者表示,一些对公司抱有不满情绪的离任雇员,利用其对公司安全系统及架构的了解,成为公司信息安全的主要威胁之一。
而47%的中国大陆和香港的受访者认为,竞争对手最有可能导致信息安全事件,全球这一数字为24%。竞争对手借助黑客或内部员工窃取对方的商业计划、客户信息,及阻碍对方的正常经营等。这是因为大多数企业给了员工特殊访问权限,但是员工离职时缺乏相应的信息安全防范措施。
此外,调查显示,第三方供应商引发的安全事件也在增加。而只有55%的企业对外部合作伙伴、供应商和服务商设置了安全门槛控制,只有半数的企业对提供服务的第三方进行了安全评估。
对此,调查报告建议,企业通过五个步骤建立战略性安全管控体系,包括:识别最具价值的信息资产,并优先保护高价值数据;为减少对各类攻击的响应时间,充分了解对手,包括其动机,可能会利用的资源,以及他们会使用的攻击方式等;评估第三方与供应链合作伙伴的信息安全状况,以确保第三方也同样符合企业要求的安全策略等。
该调查由普华永道、CIO杂志和CSO杂志联合进行,调查收到全球9700余名企业高管和专业人员的反馈(其中400多名来自中国大陆及香港地区)。
原标题:图说:大型企业最易遭受信息安全攻击
