93%的受访者承认,由于供应链环节薄弱,他们遭受了网络攻击。在过去12个月里,遭遇网络攻击的平均次数从2020年的2.7次增长到2021年的3.7次,同比增长37%。
这项研究是由Opinion Matters组织进行的,对于美国、加拿大、德国、荷兰、英国和新加坡的1200名首席信息官、首席信息安全官和首席采购官进行了采访和调查,他们来自商业服务、金融服务、医疗保健和制药、制造业、公用事业和能源,以及国防等多个行业,他们所在公司的员工人数都在1000人以上。
很多企业仍然没有优先考虑其脆弱的供应链
- 只有13%的企业表示第三方网络风险不是优先考虑的问题,这与去年相比有所下降,去年有22%的企业表示供应链和第三方网络风险不是优先考虑的问题。
- 企业评估和审计供应商的次数逐年下降:47%的企业每年对供应商安全进行审计或报告的次数不超过两次,而2020年这一比例为32%。
- 38%的受访者表示,他们无法知道第三方供应商的网络安全何时或是否出现问题,而去年这一比例为29%。
- 91%的受访者表示,第三方网络风险管理的预算在2021年正在增加,而在2020年这一比例为81%。
Blue Voyant公司第三方网络风险管理全球主管Adam Bixler在评论研究结果时表示:“尽管我们看到人们对这一问题的认识正在提高,但数据泄露及其带来的负面影响仍然高得惊人,而持续监控的普及率仍然低得令人担忧。第三方网络风险只有通过向高管团队和董事会明确和频繁地通报,才能成为战略优先事项。
只要网络风险仍然是每年只讨论一两次(或更少)的项目,那么从战略角度来看,网络风险管理将继续萎靡不振,直到不可避免发生数据泄露事件、妨碍业务运营或让企业陷入困境。”
虽然预算增加但企业仍在经历多个痛点
有关预算增加规模的报告几乎与去年的数字完全一致。29%的企业表示预算的增长幅度为26%~50%;42%的企业表示预算增长了51%~100%,17%的企业表示报告增长了100%或更多。总体而言,91%的企业表示计划增加预算。
然而,目前尚不清楚这些不断增加的投资在多大程度上是相互协调的。接受调查的企业报告了比例几乎相同的痛点:管理误报、管理数据量、确定风险优先级、了解自己的风险状况等。企业报告如此多问题的事实表明,增加更多预算并没有使风险显著降低。
Adam Bixler继续说道:“预算的增加表明,企业意识到有必要投资于网络安全和供应商风险管理。然而,广泛而一致的痛点表明,增加这一投资并没有达到它应有的效果。这与缺乏可见性、监控和高层报告有关,凸显了在应对第三方网络风险时缺乏必要的战略和措施,不幸的是,这只会导致更多的违规行为。”
不同行业的差异
对不同商业部门回应的分析表明,他们在第三方网络风险方面的经验存在相当大的差异:
- 在其网络安全或风险团队中,商业服务部门的员工人数最多,因此可以每天监控第三方风险。
- 医疗保健行业表现出最高的第三方网络风险意识,55%的医疗机构表示识别风险是关键优先事项,而平均比例为42%。然而,该行业数据泄漏事件发生率较高,在过去12个月,29%的医疗机构报告了6~10次数据泄漏事件。
- 制造业的受访者表示,通常不会将供应链/第三方网络安全风险作为关键优先事项,而且可能每年只报告一次。
Adam Bixler评论说:“我们的研究表明,在垂直行业、全球供应链和供应商中存在大量未知的第三方网络风险,企业经常遭遇数据泄漏攻击。虽然相关预算不断增加,但关键问题是应该将资金投向何处,以产生切实的影响,并减少第三方网络风险。缺乏可见度、战略和监控意味着,除非得到适当的关注,否则这种情况不太可能得到改善。”
Blue Voyant公司首席执行官Jim Rosenthal总结说:“每隔几周或几个月就对供应链进行一次审计或评估,并不足以领先于敏捷的、持续的网络攻击者。持续监控和针对新发现的关键漏洞的快速行动需要成为有效的第三方风险管理的必要条件。”
