[汇流新闻网分享] Sophos 最新调查 勒索软体事件激增：企业高层对网路安全仍缺乏认识

Sophos 6日发表和Tech Research Asia合作进行的《亚太地区和日本网路安全未来》第三版调查报告。研究发现尽管勒索软体的发生率、影响和成本不断上升，但企业高层缺乏对网路安全的认识，并普遍认为公司永远不会受到攻击。

Sophos指出，过去一年亚太地区和日本的企业在网路安全支出和成熟度方面有所提升，但只有40%的受访公司认为经营团队真正了解网路安全，60%的受访者认为网路安全厂商没有提供教育高阶主管所需的信息，88%公司同意未来24个月最大的安全挑战，将是提升员工和经营团队的警觉性和教育。

Sophos亚太地区和日本全球解决方案工程师Aaron Bugal表示，勒索软体攻击变得越来越复杂，企业需要一个真正且可执行的网路安全教育计画。目前观察到在网路安全策略方面看到的循环是「被攻击、改变、被攻击、改变」，这样对网路安全团队并不利。提升优先事项的重要性必须从企业最高层开始，并且需要高阶主管的带领，包括对整个企业进行安全认知和教育。

此外，调查也发现人才短缺仍然是企业的关注重点。73%的受访公司预计在未来24个月不容易招聘到网路安全员工；26%的人预计会遇到重大挑战。随著招聘不易，企业也纷纷订出他们认为需要优先增加人员和能力的领域。包括云端安全政策和架构、教育员工和高阶主管的网路安全培训技能、软体弱点测试、及时了解最新威胁、政策合规性和报告。

这份调查发现，网路安全专业人员面临著各种挑战和挫折，其中大部分与安全意识、洞察力、信息传递和教育有关。三个最感到挫折的地方，首先是高阶主管和经营团队不了解攻击的可能性，并且没有做出适当的反应，其次是缺乏有经验的安全专家，还有高阶主管过度依赖恐惧和怀疑的信息，难以教育。

信息安全业者指出，网路安全教育是重中之重。帮助企业加快网路安全教育有以下五个步骤，包括帮助经营团队了解不可能保护一切，要学会优先考虑最需保护的关键信息、资料和系统；应向所有员工提供关于基本原则、攻击的真实面貌、攻击管道、威胁行为者和其他术语的培训课程；一旦明确定义了这些基础，需要制定策略并与整合数位转型计画；让企业变得更具回应能力：套用法规、违规回应协议、赎金支付政策、缺口评估，以及未来的角色和义务；企业需要清楚了解合规性、营运的监管环境、违规时的法规要求为何，以及资料安全和管理的适当控制措施。