You are here
Home > 即時新聞 > Quann網絡安全報告﹕香港企業在網絡安全上普遍準備不足

Quann網絡安全報告﹕香港企業在網絡安全上普遍準備不足


網絡安全管理服務供應商Quann近日與市場研究公司IDC共同發表題為《Quann 2017 網絡安全終端用家調查報告》,以檢視亞太區企業應對網絡安全事故的準備工作。報告指出,雖然香港受訪企業普遍知悉網絡安全的重要性,並表示會尋求網絡安全專家協助,但大部份(95%)企業在網絡安全準備方面只處於基礎階段。報告同時指出,受訪企業在網絡安全設備、危機意識,以及在預防網絡攻擊所投放的資源及準備等範疇上均有明顯的不足。

是次《Quann 2017 網絡安全終端用家調查報告》訪問了來自新加坡、香港及馬來西亞三個地區,共150 位於中型至大型企業工作的資深IT技術人員,以深入了解該等企業於網絡安全的對策,以及預防網絡攻擊的措施和監測漏洞等方案。

 

Quann 董事總經理符祥智先生表示:「是次調查結果雖令人憂慮,但不感意外。報告顯示,不少企業縱使面對明顯的威脅,但並未有在網絡安全上投放足夠資源。在安全措施、專業服務及員工培訓上缺乏投資均會大大增加企業被黑客攻擊的機會。最近肆虐全球的勒索軟件WannaCry 及 Petya只是冰山一角,企業需明白到員工完成培訓、配備強大、全面的防禦和偵測系統及網絡保安程序的重要性,以應付突如其來的攻擊,並減輕相關攻擊事件所帶來的影響。」

 

香港企業普遍缺乏足夠監測網絡攻擊的網絡安全措施

即使大部份受訪香港企業已配備防火牆及防毒軟件等基本保安系統,但仍有過半(61%)受訪者指出,其工作機構並未有設置可偵測異常情況及作出預警的智能網絡安全系統或網絡安全事故管理系統。另外,有66%受訪者表示,其工作機構並未有設立可作保安事故前期監控、分析及制定應對措施的安全操作中心(SOC)或專責團隊。

 

企業缺乏適當的監督系統及應變方案,意味著即使保安系統偵測到任何異常情況,亦有機會令惡意程式長期潛藏於系統中不被發現而造成損害。

符先生表示:

「企業應考慮與經驗豐富的網絡安全服務供應商合作,一同制定、建立並管理設備完善的全天候安全操作中心,確保能即時偵測到病毒或其他安全威脅,迅速採取應對措施。除此之外,企業亦可考慮與網絡安全管理服務供應(MSSP)合作,進行全天候監察、定期的漏洞評估、滲透測試,以及事故應變及協調工作。」

 

企業在應對網絡攻擊方面明顯準備不足

報告指出44% 的受訪香港企業並無制定有效保護網絡系統及重要資料的應對方案,或等待事件發生後才作出反應。只有五分之一(20%)的企業曾進行網絡事故應對方案的演習。

企業內的非IT員工通常被視為網絡安全中最弱的一環,並經常成為網絡罪犯的攻擊目標,但只有三分之一(32%)的受訪香港企業要求包括行政總裁在內的全體員工進行網絡安全意識的培訓。

 

缺乏專責網絡安全的人手

大部份(90%)香港受訪企業並無特定的網絡保安預算及計劃,44% 受訪香港企業表示,他們雖然有網絡保安領導一職,但該員工需同時兼顧其他工作,並非專責網絡安全。大部份企業亦無提供全天候網絡保安支援, 32%的受訪企業只在辦工時間內提供支援,而12%則在工作週內提供支援。

 

有鑑網絡安全攻擊的發展速度不斷倍升,企業必須投放更多資源在網絡安全的項目上,增加監測頻率及擴大網絡安全培訓的規模,以應付日新月異的網絡威脅。

 

網絡安全不在企業管理層會議議程內

報告亦顯示高級領導層在制定網絡安全策略的參與水平偏低。大部份(83%)的受訪香港企業表示有諮詢安全管理人員,但只有12%的企業會邀請安全管理人員參與常規領導層會議,讓企業的高級領導層參與風險評估。

 

IDC亞太區IT安全業務副總裁Simon Piff表示:

「並非所有亞洲區高級領導層都熟悉網絡安全的策略,並作出適當的投資,網絡保安上的投資就如同投資軍備,往往都是希望沒有機會用到的。企業需要明白網絡安全不是一項有立即回報的商業投資,但如果不採取積極的措施,或會導致更嚴重的影響,例如法律糾紛、顧客不滿,甚至流失各階層的員工。」

 

4個企業網絡安全成熟指標階段概覽:

第一階段 – 基礎防禦 (Basic Defence)

網絡安全只被視為輔助功能,而相關的投資只達最低標準。執行及監管網絡安全狀況均受日常營運所影響。 防禦能力有限,只能阻擋最基本的攻擊,亦沒有制定危機應對方案。

第二階段 – 技術性防禦(Tactical Knowledge)

企業只制定最簡單的網絡安全應對策略及關鍵技術解決方案。雖然IT 團隊視網絡安全為重要議題,但其他員工一般認為網絡安全只屬IT 部門的分內事。高級管理層對關鍵系統及數據均缺乏參與和了解。

第三階段 – 策略性防禦(Strategic Intent)

網絡安全被視為商界及IT界所關注的議題,且有專責的領導者。企業網絡安全部門有明確的分工,並符合「企業管治、風險管理及合規」(GRC)的 框架。雖然會考慮外判部份工作,但大多技術及設備架構層面上的工作均由企業員工負責。

第四階段 – 進階執行及防禦(Advanced Execution)

任命專責的首席資訊安全總監(CISO),並直接向行政總裁(CEO)匯報。企業更具備內部及對外的網絡保安政策,由了解有關政策的員工執行指令,設有明確及記錄在案的應對策略。

 

Quann 2017 網絡安全終端用家調查報告》是透過在二零一六年下半年以電話訪問150位分別在香港(41家)、馬來西亞(52家)及新加坡(57家)企業工作的資深IT技術人員。九成以上的受訪者來自擁有至少300名員工的企業,當中擁有300500名員工或5001,000名員工的受訪企業分別有45%

 

來源:quann security


andy
熱愛電影、生活 ,俗語說人生如戲,但香港人經歷的戲又可有多少呢?(已離職)
Top