中怡网络安全系列洞察 (五) | 塑造网络韧性是当务之急

 
企业已越来越关注技术、系统和数据安全方面的投资，然而网络风险仍在不断上升。网络安全漏洞会影响业务连续性，给企业带来数百万美元的事故损失。哈佛商业评论数据显示¹，2022年全球企业因数据泄露平均遭受了435万美元的事故损失。除了企业普遍关注的勒索软件和网络钓鱼攻击等外部风险外，内部网络风险对于各行业网络安全也是不容小觑的风险点。研究显示²，尽管管理层理解网络安全的重要性，但仍有许多高管在制定这方面决策时踯躅不前。

企业管理者应该采取哪些措施才能在建立网络安全的同时塑造网络韧性？《2023怡安网络韧性报告》*通过分析客户企业的数据，深入探讨了全球企业如何应对不断上升的网络风险、企业在哪些方面已经取得了进展，以及采取哪些措施可以帮助企业准备好应对未来的网络安全挑战。

 

深入解读

《怡安网络韧性报告》指出，与2020年相比，企业的整体网络安全预算有所增加，数据安全、应用安全、远程办公、访问权限以及系统和终端安全方面都有所改善。保险市场可能会成为推动网络健康水平发展的驱动因素，因为保险公司的提醒正在督促企业实施更严格的网络安全管理措施。尽管某些网络风险仍然存在，例如容易受到内部攻击、网络风险导致的企业声誉风险以及公司核心数据的备份安全性不足，但一些行业在提升网络安全方面已取得了显著进展。

 

金融和保险业：提升网络安全是当务之急

2022年，金融和保险业的网络成熟度有所提高，中小型企业的网络成熟度已超过基本水平。行业客户表示，2021年8%的IT预算用于网络安全支出，相较2020年有所增加。多因素身份验证（MFA）作为金融数据的一种重要安全保护措施，使用率在2022年也有所上升。

然而，金融和保险业在网络韧性方面仍面临诸多挑战。不断发展的金融科技行业很容易受到数据泄露、恶意软件和勒索软件的影响³。此外，勒索软件不仅仅会对金融科技提供商构成威胁：据报告，2022年第四季度至2023年第一季度，金融和保险业的整体勒索软件索赔率增加了38%。

抵御勒索软件攻击只是金融和保险业可以塑造网络韧性的措施之一。优化网络保险、制作和管理第三方风险图以及实施补丁管理计划也是提升网络安全的重要举措。

 

医疗行业：加强网络安全的薄弱环节

医疗行业面临着独特的网络安全挑战，使得该行业的网络成熟之路变得更为错综复杂。保护患者敏感数据的需求、IT人才缺口、与监管合规相关的潜在责任以及转向物联网的新技术开发都是医疗行业需要考虑的重要因素。对于医疗行业，网络攻击不仅是毁灭性的，而且代价高昂：可能对患者造成伤害甚至危及生命4。

与金融和保险业一样，医疗行业在2022年也在网络安全方面投放了8%的IT预算。医疗行业可以通过更深入地了解其网络安全风险以降低勒索软件和其他网络威胁。企业可以通过与内部应急中心合力塑造网络韧性，从而提升整体网络成熟度。加强业务连续性规划与事件响应准备之间的关联也有助于加强网络战略的一致性。

 

制造业：建立网络韧性

制造业依托于由不同规模和能力水平的合作伙伴所构成的生态网络，其相互关联性扩大了网络风险的影响范围。严重的网络事故能够破坏供应链，而制造业生态系统中的许多规模较小的企业可能缺乏充足的资源来应对网络攻击。工业物联网中的漏洞和后疫情时代供应链承受的压力导致制造业在建立网络韧性方面困难重重。

不过，制造业在网络成熟度方面正在取得不错的进展。2022年，制造业将8.5%的IT预算用于网络安全，超过了金融保险和医疗行业。

与其他行业一样，制造业的网络韧性始于理解和管理风险。制造业应重点关注响应、回复策略以及细分系统，包括将信息技术和运营技术分开以最大限度地减少内部网络风险，这有助于建立更强大的网络风险档案。

 

塑造网络韧性，提升决策质量

企业管理者可以考虑制定整体战略以塑造网络韧性。信息技术、财务、人力资源等部门都容易受到网络攻击，所有部门都可以从优化网络战略中受益。《怡安网络韧性报告》建议所有行业的企业可以采取这些步骤以提升网络成熟度：

• 备份信息有助于降低运营风险5，而将云存储和关键信息技术管控措施结合起来，可以减轻勒索软件攻击对企业造成的影响。
• 风险建模、数据智能和安全控制都有助于管理因依赖有限的技术服务或因共享使用关键技术而危及网络安全所带来的系统性风险6。
• 增加对多因素身份验证的投资可以为制造业和其他行业，特别是整个供应链的安全增加重要的保障。
• 加强数据安全和培养网络安全意识有助于抵御网络钓鱼攻击6以及外部购买和访问企业数据的风险。
• 建立安全运营中心可以帮助企业弥补网络安全方面的重要敞口 — 40%的受访企业缺乏这方面的管控措施7。
• 投保网络保险可以在发生网络事故时最大限度地降低经济损失。保险还可以覆盖随之而来的声誉风险8，更好地保持网络韧性，这在相互关联的数字化世界中越来越重要。

 

关于怡安网络风险解决方案

怡安网络风险解决方案提供全面的网络风险管理、卓越的调查能力和专有技术，帮助客户鉴别和量化网络风险、保护关键资产并从网络事件中恢复。

---

如需获取更多信息或有相关需求，敬请联系：

周海晨

中怡保险经纪网络安全执行总监

邮箱：johnson.zhou@aon-cofco.com.cn
电话：+86 (20) 3816 5923

 

刘晨晖

中怡保险经纪网络安全高级客户经理

邮箱：alyssa.liu@aon-cofco.com.cn
电话：+86 (21) 3865 8366

---

声明：本文件所含信息仅用于一般性目的，并不针对任何个人与实体。我们始终致力于提供准确、及时、来源可靠的信息，但我们无法完全保证本文件所含信息在被用户接收之时以及未来仍旧绝对准确，也不对任何可能依赖本文件的人以任何方式产生的任何损失承担任何责任。我们不能保证本文件中包含的信息在收到之日仍然准确，也不能保证将来继续准确。任何个人与实体不应在缺少合适的专业建议与针对性调研的前提下仅基于本文所含信息做出决策与行动。

---

引用来源：

1. The Devastating Business Impacts of a Cyber Breach (hbr.org)
2. To be cyberattack ready a CISO must know this about the CEO | World Economic Forum (weforum.org)
3. Cybersecurity trends in 2023 – what fintechs can expect | FinTech Magazine
4. https://www.nbcnews.com/tech/security/cyberattacks-us-hospitals-mean-higher-mortality-rates-study-finds-rcna46697
5. Take These Steps to Mitigate Operational Risks (aon.com)
6. Steps to Minimize Cyber's Impact on Systemic Risk (aon.com)
7. Cyber Insider Threats are a Growing Business Risk (aon.com)
8. Build a Plan to Address the Perils of Reputational Risk (aon.com)
   *2023 Cyber Resilience Report (aon.com)