SecurityBrief 在2025年 4月23 日報導了最近英國的這個現象。
由英國政府發佈的年度《網路安全漏洞調查》(Cyber Security Breaches Survey)強調,董事會層級對企業內部網路安全的責任正在下降令人擔憂,而網路攻擊,特別是網路釣魚,以前所未見的規模持續威脅公司。
根據這份2025年的調查,目前僅27%的英國企業配置一位董事會成員負責網路安全,較2021年的38%顯著下降。此趨勢指出最高商業領導層對網路安全之直接監督與策略優先性逐漸削弱。
Proofpoint歐洲、中東及非洲區網路安全策略師Matt Cooke形容此發展「尤其令人擔心」。Cooke強調董事會在制定優先事項和資源分配的關鍵角色,並宣稱「組織內的任何人都不能以事後再說的態度看待網路安全—特別是董事會層級的人,他們控制財政大權和經營優先事項」。他進一步強調意識與行動之間的落差:「先前的研究發現,資安長(70%)與董事會成員(73%)同感未來12個月內的重大網路攻擊可能影響其組織,這突顯出一個令人震驚的問題,一旦網路安全沒有得到充分重視。」
當威脅局勢依然動盪且快速變化時,同時董事會層級的責任卻下降。相同的政府調查透露,網路釣魚照舊是網路犯罪方式的主要手法,去年有93%的行業遭遇網路攻擊的影響。如此高度普遍的現象突顯組織在防禦利用人為弱點的社會工程戰術方面所面對的持續挑戰。
網路安全公司AppOmni的技術長與共同創辦人Brian Soby說,網路釣魚攻擊持續存在並不令人驚訝。「看到網路釣魚仍是最常見的網路犯罪型態不會驚訝。它奏效,而且是攻擊者容易使用的攻擊媒介,簡單明瞭。我們已經看到組織投入大量資金進行集中化的身份管理與零信任解決方案,而忽略了風險樣貌的現實。軟體即服務(SaaS)與其他的應用程式儲存組織資料。我們經常看到這些應用程式並沒有安全地配置,也沒有受到組織安全架構所覆蓋。」
Soby的觀察吸引外界注意,當基本問題仍未解決,某些安全投資的限制。「如果攻擊者能夠輕易規避這些安全投資,把釣魚安全憑證直接帶進應用程式並竊取資料,顯而易見這是最薄弱的環節,自然會被利用。不管是網路釣魚、竊取資訊者或者竊聽會議,由於這些明顯的漏洞且缺乏針對最常見攻擊媒介的防護,組織安全計畫的投資報酬率應該都不高。」
調查結果對政策制訂者和公司領導人提出迫切問題。隨著網路攻擊變得愈發複雜,凝聚人心的領導力和全面的組織策略需求更加無可凌駕。專家堅稱網路安全應該配置於整個公司治理,讓董事會直接參與策略與審查,而非降級交給後台部門。
由於大多數資安長與董事會成員都預期明年會發生重大網路安全事件,行動的風險從未如此之高。隨著威脅局勢演變,各組織被要求強化的不只是技術防禦,還有策略領導力—以及確保網路安全問責是從最高層開始。
.jpg)
沒有留言:
張貼留言