有報告指出,儘管香港受訪企業普遍知悉網絡安全的重要性,並表示會尋求網絡安全專家協助,但大部份(95%)企業在網絡安全準備方面只處於基礎階段。同時,受訪企業在網絡安全設備、危機意識,以及在預防網絡攻擊所投放的資源及準備等範疇上均有明顯的不足。
Quann 近日與市場研究公司 IDC 共同發表《Quann 2017 網絡安全終端用家調查報告》,訪問了了來自新加坡、香港及馬來西亞三個地區,共 150 位於中型至大型企業工作的資深 IT 技術人員,以檢視亞太區企業應對網絡安全事故的準備工作。
香港企業普遍缺乏足夠監測網絡攻擊的網絡安全措施
報告發現,即使大部份受訪香港企業已配備防火牆及防毒軟件等基本保安系統,但仍有過半(61%)受訪者指出,其工作機構並未有設置可偵測異常情況及作出預警的智能網絡安全系統或網絡安全事故管理系統。
另外,有 66% 受訪者表示,其工作機構並未有設立可作保安事故前期監控、分析及制定應對措施的安全操作中心(SOC)或專責團隊。而企業亦缺乏適當的監督系統及應變方案,意味著即使保安系統偵測到任何異常情況,亦有機會令惡意程式長期潛藏於系統中不被發現而造成損害。
企業在應對網絡攻擊方面明顯準備不足
報告又指出,44% 的受訪香港企業並無制定有效保護網絡系統及重要資料的應對方案,或等待事件發生後才作出反應。只有五分之一(20%)的企業曾進行網絡事故應對方案的演習。
企業內的非IT員工通常被視為網絡安全中最弱的一環,並經常成為網絡罪犯的攻擊目標,但只有三分之一(32%)的受訪香港企業要求包括行政總裁在內的全體員工進行網絡安全意識的培訓。
缺乏專責網絡安全的人手
大部份(90%)香港受訪企業並無特定的網絡保安預算及計劃,44% 受訪香港企業表示,他們雖然有網絡保安領導一職,但該員工需同時兼顧其他工作,並非專責網絡安全。大部份企業亦無提供全天候網絡保安支援, 32% 的受訪企業只在辦工時間內提供支援,而12%則在工作週內提供支援。
有鑑網絡安全攻擊的發展速度不斷倍升,企業必須投放更多資源在網絡安全的項目上,增加監測頻率及擴大網絡安全培訓的規模,以應付日新月異的網絡威脅。
網絡安全不在企業管理層會議議程內
報告亦顯示高級領導層在制定網絡安全策略的參與水平偏低。大部份(83%)的受訪香港企業表示有諮詢安全管理人員,但只有12%的企業會邀請安全管理人員參與常規領導層會議,讓企業的高級領導層參與風險評估。
Quann 董事總經理符祥智表示,是次調查結果雖令人憂慮,但不感意外。報告顯示,不少企業縱使面對明顯的威脅,但並未有在網絡安全上投放足夠資源。在安全措施、專業服務及員工培訓上缺乏投資均會大大增加企業被黑客攻擊的機會。他續稱,最近肆虐全球的勒索軟件 WannaCry 及 Petya只是冰山一角,企業需明白到員工完成培訓、配備強大、全面的防禦和偵測系統及網絡保安程序的重要性,以應付突如其來的攻擊,並減輕相關攻擊事件所帶來的影響。
IDC 亞太區 IT 安全業務副總裁 Simon Piff 指,並非所有亞洲區高級領導層都熟悉網絡安全的策略,並作出適當的投資,網絡保安上的投資就如同投資軍備,往往都是希望沒有機會用到的。企業需要明白網絡安全不是一項有立即回報的商業投資,但如果不採取積極的措施,或會導致更嚴重的影響,例如法律糾紛、顧客不滿,甚至流失各階層的員工。