近期的一些資安調查：(1)KPMG調查：長字輩的網路主管對防禦樂觀，但很大比例最近有遇到網路攻擊；(2)與網路防禦能力差的中小企業合作，會有風險；(3)資安長不斷變化的角色，以及對新執法時代做準備；(4)網路安全投資、董事會參與，和更佳的股東回報有關；(5)安全主管對淡化風險感受到壓力：嚴重漏洞是唯一警鐘-2024/07/04

(1)KPMG調查：長字輩的網路主管對防禦樂觀，但很大比例最近有遇到網路攻擊

2024年5月13日在Yahoo!Finance網站上刊載了Newsfile Corp.所提供的KPMG的調查。這份調查是針對200位長字輩網路主管所做的，受訪公司營業額都在10億美元以上。有40％說，他們公司最近有遇到網路攻擊，造成安全漏洞，而38％經歷過一至三次的攻擊。大多數安全主管(76%)擔心過去一年新網路威脅的更加複雜化，特別是過去一年有經歷到網路攻擊的受訪者。最擔心的事項包括：來自於組織化網路犯罪集團之威脅、員工和締約者的內部人威脅，以及個別的駭客。

有趣的是，有經驗到最近網路攻擊的安全主管，有可能對其Security Operations Center's (SOCs)風險領域之監督及威脅之準備感到滿意。特別是：

*73％的安全主管表示，對SOCs瞭解組織風險領域及漏洞，感到高度滿意。

*86％的安全領導人對於SOCs就未來複雜性之準備，感到滿意。

*90％說他們的SOCs可完全看到整個組織的風險領域及漏洞。

該調查也強調，網路安全上AI基礎的自動化是越來越重要。有三分之二的安全主管認為，AI基礎的自動化，對於領先新威脅、提高SOC的敏捷和因應能力，是非常重要。

除此之外，AI對所有安全功能而言也是「改變遊戲者」，包括身份管理、監控、預測分析及異常偵測。此外，有72％的安全主管稱自己是新網路安全方案及服務的「首波採行者」，同時AI可能在推動這種心態上扮演重要角色。

雖然AI基礎的自動化被視為對SOCs有利，但主管評價信任AI建議之可信度是最重要的事(38%)，其次是員工對可能失業之反彈(30%)，以及建立AI支持所需的文化變遷(30%)。以及有29％擔心，會帶動新的網路安全威脅與漏洞。

該調查也指出了安全主管所面對的幾項挑戰，包括營運面問題，比如安全、資料品質及競爭力(30%)；對低度警示和真正威脅的疲勞(30%)、監控周邊(29%)以及威脅偵測/矯正之延遲(24%)。近三分之一(32%)說，他們的SOCs難以判斷威脅與漏洞之嚴重性。

關於資源，有三分之一(33%)表示，人員不足是一個大問題，48％說可能是個問題。更多人說的「大問題」有：留住及吸引人才(47%)、維持最新的知識/訓練(46%)及缺乏專業技能(45%)。

然而，該調查顯示，大多SOCs的主管預期，他們的人員與預算在未來兩年會增加。有三分之二以上的安全主管說，他們的SOCs人員與預算會增加，而大多數(87%)預期，增加幅度至多20％。主管說，他們當前的年度SOCs預算平均是1460萬美元，最常見的用途(37%)是作預防與偵測。

資料來源：https://finance.yahoo.com/news/kpmg-survey-c-suite-cyber-100000883.html 

(2)與網路防禦能力差的中小企業合作，會有風險

Chantal Kapani在2024年5月9日有這一篇"Businesses at risk from SME partners with weaker cyber defences"。對於企業間合作關係而來的網路威脅，值得參考。

根據IT支援供應商AAG的2024年2月資料，約三分之一(32%)的英國企業說，去年遭受過網路攻擊或入侵—中型企業的比例上升到59％、大企業是69％。

Hiscox的年度Cyber Readiness Report 發現也呼應這個調查結果。該保險公司的研究顯示：對小企業(員工人數不到10人)的網路攻擊，在過去三年間從23％升至36％。

不過，中小企業看來對網路犯罪威脅的嚴重性意識不足。

另一份由網路保險公司Cowbell所做的研究發現，32％的中小企業執行長頗有信心—網路攻擊不會影響他們經營的能力。

此外，有10％的受訪企業主管說，他們沒有必要強化網路安全防禦機制。

提及瞭解和減少網路風險，中小企業把頭埋進沙子裡的這個事實，會危及大企業，因為中小企業會與大企業合作，會透過「交互關聯性」轉移過去。

Cowbell的英國核保總監Claud Bilbao告訴Insurance Times：「當企業接納科技進步以強化效率和成長時，他們之間的交互關聯性越來越高，整個營運上有非常多的接點。」

「但是此交互關聯，也會帶來巨大且升高的網路風險—更多的接點也會加大每個裝置的漏洞，讓犯罪者有可能潛入。」

因此，中小企業對於他們往來的所有大企業而言，都是網路安全風險，特別是Cowbell的研究指出，77％的中小企業並未具備任何企業內部的網路安全機制。

Beazley Digital的區域經理人Matthew Norris解釋說，中小企業「通常安全系統較弱，被犯罪者視為好入侵的對象。大公司會給中小企業網站進入權限，以便進行服務，但這就給了駭客入侵大公司的機會。通常，大公司在意的是前端，而非後端（承包商會進去的）。」

而這就會引發第三方網路攻擊，即網路罪犯鎖定承包商、供應商，藉此取得公司夥伴或客戶的敏感資訊。

「作為許多供應鏈不可或缺的一環，中小企業若安全系統弱的話，就是駭客進入大企業的跳板。一個弱的承包商，可能會讓數個大客戶被鎖定。」

Bilbao同意，企業系統日益複雜下，會引發網路罪犯可利用的潛在安全落差，比如，由第三方IT供應商所提供及維護的網路、軟體與硬體。

這些供應商通常有權限可進入客戶的IT基礎設施，包括敏感資料及關鍵系統。

Norris說，許多中小企業並未意識到網路罪犯所帶來的「威脅程度」。繼而，這會影響到網路保險在這一群人的滲透率，並阻礙他們利用許多保險公司提供的預防措施之能力。

2023年四月英國科學、創新與技術部發佈的Cyber Security Breaches Survey 2023呼應了Norris的看法，他們發現，僅6％的微型企業、11％的小企業有網路保險。

該報告也顯示，29％的微型企業、33％的小企業以為：在更大的保單裡已包括網路承保範圍，但現在很多商業保單標準作法是全面排除。

網路保險公司CFC在2024年一月對Insurance Times說，估計英國有買網路保險的中小企業數才15％。

資料來源：https://www.strategic-risk-global.com/cyber-/-technology-risks/businesses-at-risk-from-sme-partners-with-weaker-cyber-defences/1451860.article

(3)資安長不斷變化的角色，以及對新執法時代做準備

Orrrick網站在2024年4月24日有這一則報導。隨軟體即服務和資料幾乎成為每家企業的核心，資安長被認為要負責的，不只是公司網路及遵循，還有參與銷售流程，以提供數位產品安全之保證。這一篇就是Orrick的Aravind Swaminathan與Kroll的David Dunn談新局勢發展。

資安長的角色面對到很多挑戰。根據FTI Consulting的調查，有82％的資安長說必須在董事會前講美好的遠景、58％說難以向高階經理人溝通技術概念。

約有三分之一的高階經理人相信，他們公司的資安長提出過份樂觀的圖像，而同比例者認為，他們的資安長不願表示安全漏洞的憂慮。這是有共通點的。

根據FTI Consulting最近的調查，溝通不良仍然存在，且有近半的高階經理人及資安長會說，他們的優先事項並不一致。不過，幾乎所有（98％）高階經理人支持對資安長要有更多訓練，特別是在溝通方面。

Swaminathan建議：資安長和法務要定期會面，確保彼此的一致性、並跟上快速變化的監理遵循局勢。

資料來源：https://www.orrick.com/insights/2024/04/The%20evolving%20role%20of%20the%20CISO%20and%20preparing%20for%20a%20new%20age%20of%20enforcement

(4)報告指出網路安全投資、董事會參與，和更佳的股東回報有關

Diligent與Bitsight的一份報告指出：網路安全準備和財務方面的成功，與維持堅實安全措施之間存在高度關聯，能維持先進安全措施之公司，會比起只維持基本水準的同業，股東回報會多出372％。

這份分析了超過4000家全球公司資料的報告發現：在過去三年間，安全績效領先的公司其平均股東回報是67％，較僅為基本水準公司的14％高出許多。

過去五年間，安全績效領先公司的股東總回報是71％，而基本水準的公司為37％。

報告作者說，「此外，績效之增進或許也源自於這樣的事實—安全績效領先的公司，本身的治理基礎也較為健全。」

該報告也發現，設有風險或審計委員會的公司，在網路安全績效上會比未設的更健全。該報告評等系統對公司網路安全之評分範圍在250至900之間，設有風險委員會者，評等中位數為730，而審計委員會則為720。

該報告強調，這些委員會內是否有網路安全專家直接參加，是關鍵一項要素。在審計或風險委員會上有網路安全專家的公司，安全績效評等平均是700，遠高於僅在董事會上有專家公司的580。

該報告也強調，受到高度監理的產業典型上表現會其他產業好。醫療照顧業平均安全評等是730，而金融服務業則有33％的公司是安全績效領先的公司，其平均評等是720，相對地，基本水準的公司僅24％。在通訊產業方面，報告說是整體績效評等最差的，為630。

網路安全公司Bugcrowd的執行長Dave Gerry說，受高度監管的公司與產業，傳統上會更快採行網路計畫與最佳實務，因為他們本就在管理風險、而且做得更好。「確保他們遵守監理要求，就是他們的文化；只是另外再增加一項為網路而已。」

Keeper Security的安全副總裁Patrick Tiquet說，有健全安全措施的公司，不只會採取具體措施來保護其系統和敏感資料，亦可簡化運作，讓員工更有效率。「把例行工作自動化，能讓公司釋放出寶貴的資源，而後帶動企業成長與策略主張。」

資料來源：https://www.csoonline.com/article/2075262/report-suggests-cybersecurity-investment-board-involvement-linked-to-better-shareholder-returns.html

(5)安全主管對淡化風險感受到壓力：嚴重漏洞是唯一警鐘

最近Trend Micro報告顯示，大部分網路安全主管(79%)感覺這樣的壓力：董事會有淡化網路風險嚴重性，同時，有80％相信，唯有嚴重的資料外洩才會刺激董事會更正式採取行動。

該報告也發現，董事會視這些安全主管是「重複」、「嘮叨」、「太過負面」了。

Trend Micro是受Sapio Research委託，針對2600位全球在公司負責網路安全之IT主管進行調查。報告發現，在已感受到董事會壓力的安全主管方面，有43％說是因為他們被視為「重複」或「嘮叨」，42％說他們被視為太負面了，33％有被完全否定。

Trend Micro的技術總監Bharat Mistry在聲明中說，「超過一半安全主管說，安全是他們最大的企業風險。但他們無法以董事會瞭解的語言溝通。因此，他們會被忽視、貶低或被說嘮叨。」

「除非他們更能與高階主管議合，否則公司網路韌性會有問題。第一步就是要對各攻擊面取得單一的真實來源。」

該報告顯示，僅一半(54%)的受訪安全主管對長字輩主管完全瞭解組織網路風險有信心。34％受訪者說，網路安全仍被視為是IT的一部分，而非企業風險。

此外，有80％的受訪者相信，唯有嚴重的漏洞才會刺激董事會對網路風險採取更決定性的行動。報告寫說，「他們說，財務損失平均要到15萬英鎊（19.1萬美元）才會引發行動。這顯示一個沒興趣、不投入的董事會。」

Trend Micro指出，「不幸的是，長字輩主管的行動與投資，都是一次性的，最終會脫節、缺乏策略的一致性。...通常會帶動額外的成本與複雜性問題。」

Trend Micro寫說，「真相是，董事會幾乎不花時間看資安長的簡報，因為他們常使用術語、不重要的指標。」

報告還說，長字輩主管想要看到的問題比如：「網路如何支持我們的企業目標？我們投資網路的投資報酬率有多少？我們最近一次的數位轉型措施，對網路風險有什麼影響？」

對董事會成員而言，他們對管理網路安全計畫的細節沒有興趣，需要的是大角度的策略問題，比如「我們如何確保安全？以及我們的安全計畫比起同業如何？」

根據該報告，成功衡量與溝通其策略業務價值的網路安全主管，發現自己會被視為更有可信度(46%)、授予更大職權範圍(45%)、被視為更有價值的部門(44%)、授予更多預算(43%)，以及納入高階決策(41%)。

資料來源：https://www.sdxcentral.com/articles/analysis/security-leaders-feel-pressured-to-downplay-risks-serious-breach-seen-as-only-wake-up-call/2024/05/