深悉數據外洩風險但無相應措施 港企數據保安仍陷黑暗期

不少香港機構都認知到數據保安問題,但據 NTT Com 公布調查指,港企在對數據保護的調查上落後不少先進國家,專家指港企在資源調配上未能追上,市面也嚴重缺乏有關保安人才,也許要三數年才能有突破。

數據保安成為近年主要新聞,不少香港機構都認知到此問題。但據 NTT Com 公布調查指,港企在對數據保護的調查上落後不少先進國家,專家指港企在資源調配上未能追上,市面也嚴重缺乏有關保安人才,也許要三數年才能有突破。

 

資安並未被視為重要業務風險

NTT Com Security 發表最新「Risk:Value Report」揭示企業忽視資訊保安的情況。結果顯示,全球企業視「資訊安全」為最大商業風險者竟不足一成,而香港企業在順位上只把資訊保安排在第八要項,情況並不樂觀。

該研究訪問了全球 800 位非資訊科技類企業的高級商業決策人,分別來自澳洲、法國、德國、香港、挪威、瑞典、英國及美國等 8 個先進地區。

63% 受訪企業預計,在某情況下會發生資訊安全問題,然而視資安缺失為最大業務風險者卻少於一成(9%)。對他們而言,更大業務風險是「來自搶佔市場的競爭對手」、「員工技能不足」及「盈利下滑」。

只有 1% 香港受訪企業視資訊保安為首要重任,資訊保安在本港企業的營運重點中僅佔第 8 位。而對香港企業而言,客戶數據是最急需保護的資訊類別,其次是業務表現數據、知識產權數據、員工數據及研發數據。

 

近六成機構認為長遠影響「微不足道」

一旦數據被竊,有六成受訪者認為會有損商譽,56% 認為會打擊客戶信心,然而 59% 機構認為長遠影響只是「微不足道」。

談到資安問題對企業財政的影響,受訪者認為營業收入平均減少8%,不過亦有17% 相信不會對收入構成任何影響,亦有 25% 受訪者承認對資安問題的財政影響毫無頭緒。

NTT Com Security區域總監龔玨萱表示,資訊安全問題無日無之,嚴重者可使企業蒙受巨額損失。她引述英國商務、創新和技能部的研究指出,一家大型企業有可能因數據外洩而造成高達 1,340 萬港元損失,資安問題更牽連甚廣,不僅折損商譽、影響股價,甚至使企業無法吸納優秀專才。

 

八成港企認同數據外洩是業務風險

以去年美國零售商戶 Target 為例,就因為外洩了多達 1 億筆顧客的信用卡資料而陷入危機,在兩個月內股價急挫近兩成,時任 CEO 更要因此請辭。

在有關數據外洩的問題上,全球 58% 受訪者認同數據外洩會為機構帶來極大的衝擊。而在香港成績就更好,多達 85% 香港受訪公司認同數據外洩業務風險嚴重,遠比其他地區為高。

但如再看另一題有關機構自問數據有多安全的問題上,香港竟在大多數地區中都敬排末席。全球 29% 受訪機構自問已好全面的數據保護,但香港只有 22%。而在企業關鍵數據上,全球 44% 機構自信已做好保護,香港只有 29%,排名最低。

 

人、流程、系統三者缺一不可

而在有關顧客敏感數據、企業知識產權的數據上,全球受訪企業有 37% 和 33% 自問已經做好保護,而香港亦較平均為低,分別只有 33% 和 24%。這跟之前提到,多達 85% 機構認同數據外洩的後果嚴重的結果有很大的矛盾。

就這個矛盾,龔玨萱表示原因包括很多層面,例如機構的資源是否足夠?資源的配套是否已配合情況?IT 部門和員工已經就緒?這些都是重要關鍵。她認為做好數據保安,人、流程、系統三者缺一不可,而這也是香港企業面對的處境。

NTT Com Security 售前顧問經理梁偉傑則補充,香港機構開始對數據外洩可能導致嚴重後果有所認知是好事,但由於不可能一蹴而就,因此難免有一段時間需要追上。他表示 NTT Com Security 除提供培訓予企業外,亦有銷售資訊保安外判服務,即使機構一時間難以找到資安人才,也可藉由採用他們服務來外判風險。

 

全球資訊風險價值報告更多內容:

告涵蓋 4 大重點,包括數據政策、數據保安、數據安全問題的影響及個人知識 / 行為。

● 企業數據政策

企業的資訊科技預算平均有一成用於數據/資訊保安,亦有16%受訪者未清楚花費多少。
近半 (49%) 受訪者認為數據保安「昂貴」,更有 18% 認為具有破壞性。
逾半 (57%) 受訪者已制定了正式的數據保安政策,然而落實了業務延續及災難復原計劃的卻不足一半 (47%)。

● 數據保安

少於一半 (44%) 受訪者表示所有關鍵數據「完全安全」。
有55% 受訪者認為 (消費者) 客戶數據對業務成功攸關重要,但只有37% 表示所有 (消費者) 客戶數據「完全安全」。
有45% 受訪者認為業務表現數據對業務營運至為關鍵,但只有 31% 表示有關數據「完全安全」。

● 數據安全問題的影響

近四分三 (72%) 受訪者表示,所屬機構已在數據安全範疇上投保。
少於一半 (48%) 受訪者表示,公司保險已同時涵蓋數據流失及數據安全受損兩個範圍。
有四分一有投保的受訪者並未完全清楚本身針對數據安全的投保範圍。

● 個人知識及行為

少於一半 (41%) 受訪者表示,公司的資訊科技保安團隊未有提供數據攻擊及潛在威脅的最新資訊。
有28% 只憑自己的判斷來決定何謂「安全使用及存取工作數據」,但有五分一 (21%) 表示數據保安是他們與資訊科技團隊的共同責任。