中怡网络安全系列洞察 (四) | 网络风险日益严峻，亚太企业该如何应对？

自《2021年怡安全球风险管理调研》¹首次将网络风险列入亚太地区企业管理者面临的五大风险之一起，网络风险已连续上榜成为历年的核心风险话题。这反映出亚太地区的风险形势仍在不断变化，高级管理层认为网络风险对业务运营构成重大威胁。怡安对于客户案例的评估结果²也进一步佐证了网络风险管理对于管理层的战略重要性。评估显示，2020年至2022年间，客户的整体网络成熟度从“基本”上升到了“管控”级别³，即风险处于可控范围且企业正在积极主动地管理潜在风险。

亚太地区的网络风险主要由两个因素驱动。一方面，地缘政治紧张局势使供应链风险管理变得尤为重要，包括对关键供应网络的攻击、数字供应链中的网络漏洞，以及战略供应商的知识产权外泄4。怡安评估显示，企业为应对这一风险，2020年至2022年期间，供应链管控网络成熟度从最低的“基础”水平已提升至“管控”水平⁵，标志着企业管理者对数字供应链风险管理的重视。

另一方面，亚太企业和保险市场将勒索软件视为主要的网络风险⁶。我们通过评估各种收入规模和行业的企业后发现，近两年核心控制域的管控水平（负责网络安全防护的核心领域，如访问权限管理、业务韧性和系统终端等）显著提升。管控级别日益严格的趋势与2022年亚太地区勒索软件发生率下降40%这一现象相吻合⁷。

随着亚太地区的网络风险治理和数据保护措施不断完善，企业对于网络风险管理也越发重视。怡安评估显示，2020至2022年间，网络风险治理从“基本”提升至了“管控”水平。这一变化标志着企业管理者对于风险监督和隐私保护问题的重视。

 

行业洞察

今年，我们对制造业、金融与保险业和医疗行业进行了更深入的研究。通过评估我们观察到，2022年，上述行业的整体网络安全处于管控水平。其中，金融与保险行业自2020年以来在网络风险管理方面取得了显著进展，已从基础水平提升至管控水平。

对于制造业而言，业务韧性仍然处于基础水平。然而，客户报告称业务连续性管理（BCM）得到了改善。企业仍然需要充分管理运营风险，同时由于分布式运营技术网络、制造服务和劳动力所存在的固有挑战，远程办公和第三方风险管理仍然是当下尤为棘手的风险点⁸。

相形之下，金融和保险业反馈第三方风险管理达到了成熟水平，反映了亚太地区对该议题的审慎关注。同时，企业的风险管理已总体提升至管控水平，这意味着安全团队与传统银行和金融业的运营风险以及可承保风险框架之间的一致性日益增强⁹。

医疗保健行业报告称其物理安全已达到成熟水平。然而，鉴于联网医疗设备的使用增长以及行业内使用更为尖端的物联网技术，医疗保健行业的应用程序安全性仍处于初级阶段，这仍是企业面临的一大风险点¹⁰。

 

我们建议亚太地区的领导者采取以下行动：

1. 更新和加强针对网络风险的治理框架和风险管理策略。亚太地区的隐私法规正在适应新的数据泄露威胁和人工智能等新兴技术。因此，对于高管们来说，根据最佳实践和监管要求，展示出企业有能力对网络威胁采取恰当的治理和风险管理方针至关重要。这一举动不仅能改善企业风险状况，还有助于在发生风险事件时，减少潜在的法规和股东诉讼。
2. 对勒索软件威胁保持警惕。尽管亚太企业在应对勒索软件风险方面表现良好，但全球趋势表明，勒索软件攻击正在不断增加（2023年第一季度比2022年第四季度增加38%）6。我们建议继续关注有助于缓解勒索软件攻击的安全管控措施，特别是针对承保流程中核心部分的管控措施。
3. 在制定网络风险战略时保持前瞻性。构成亚太地区网络风险前景的驱动因素众多，包括持续升级的地缘政治紧张局势、重新配置供应链所带来的挑战，以及新兴技术（人工智能、生物识别、制造业中的智能数字物理技术和建筑环境）的采用。经常对一系列复杂情景进行网络风险策略的压力测试，以确保您与这些超级趋势的需求保持同步，包括对事件响应、业务连续性管理和危机管理战略进行频繁的情景测试。此外，通过测试保险限额和保单保障来识别类似复杂网络风险事件中的潜在风险敞口和风险机会，以更好地保护资产负债表和维护股东价值。

 

关于怡安网络风险解决方案

怡安网络风险解决方案提供全面的网络风险管理、卓越的调查能力和专有技术，帮助客户鉴别和量化网络风险、保护关键资产并从网络事件中恢复。

---

如需获取更多信息或有相关需求，敬请联系：

周海晨

中怡保险经纪网络安全执行总监

邮箱：johnson.zhou@aon-cofco.com.cn
电话：+86 (20) 3816 5923

 

刘晨晖

中怡保险经纪网络安全高级客户经理

邮箱：alyssa.liu@aon-cofco.com.cn
电话：+86 (21) 3865 8366

---

声明：本文件所含信息仅用于一般性目的，并不针对任何个人与实体。我们始终致力于提供准确、及时、来源可靠的信息，但我们无法完全保证本文件所含信息在被用户接收之时以及未来仍旧绝对准确，也不对任何可能依赖本文件的人以任何方式产生的任何损失承担任何责任。我们不能保证本文件中包含的信息在收到之日仍然准确，也不能保证将来继续准确。任何个人与实体不应在缺少合适的专业建议与针对性调研的前提下仅基于本文所含信息做出决策与行动。

---

引用来源：

1. “Cover – 2021 Global Risk Management Survey (aon.com)” Report. Aon. 2021.
2. Aon’s Cyber Quotient (CyQu). Patent-pending technology.
3. Behind the Data: Research Methodology (aon.com)
4. “Top conflict hot spots and crises in the world to worry about in 2023.” Tharoor, Ishaan. The Washington Post. Article. January 11, 2023.
5. Cyber Attacks on Supply Chains Are Causing a Widespread Impact (aon.com)
6. “Buyer-Friendly Cyber and E&O Market: How to Take Advantage | Aon” Report. Aon. May 2023.
7.  “Risk Based Security Data and Analysis.”  Aon. Updated January 4, 2023.
8.  “How Smart Manufacturing is Intensifying Business Risk” (aon.com)
9.  Actions to Improve Cyber Resilience in Finance and Insurance Sector (aon.com)
10.  Healthcare Cyber Profile Improved, but Resilience Work Remains (aon.com)