【過度自信】Kroll網絡風險報告 指CFO對潛在網絡風險缺乏認知

    【過度自信】Kroll網絡風險報告 指CFO對潛在網絡風險缺乏認知

    風險和財務諮詢解決方案獨立供應商德安華(Kroll)發表題為《過度自信代價高昂》的 2022 年網絡風險與 CFO 報告,發現財務總監(CFO)對其公司應對網絡安全事故的能力充滿信心,但對公司面臨的潛在網絡風險缺乏認知。

    焦點數據:

    - 87% 財務總監對其企業應對網絡攻擊能力很有信心或非常有信心
    - 71% 受訪者所屬機構過去 18 個月曾因網絡事故,蒙受逾 500 萬美元經濟損失
    - 45% 受訪者計劃提高至少 10% 投放於資訊保安的整體資訊科技預算

    Kroll 委託 Industry Dive StudioID,訪問全球 180 名財務總監、行政總裁及其他高級財務主管,近 60% 來自北美,20% 來自歐洲、中東和非洲,以及 20% 來自亞太地區。

    報告顯示,儘管網絡攻擊時有發生,但亞太區的財務總監們,卻鮮少接獲公司資訊保安團隊匯報相關風險或議題,反映 CFO 在網絡規劃方面並不知情。

    報告提到,雖然 CFO 對網絡攻擊的能力充滿信心,但他們對網絡風險潛在問題的可視性並不相符。每 10 名受訪者中,只有 4 人會與他們的網絡安全團隊定期溝通。

    61% 機構於過去 18 個月,遭受至少三次重大網絡安全事故。受訪中 82% 高層指過去 18 個月,其公司估值曾在經歷最嚴重的網絡安全事故後,下跌 5% 或以上。

    CFO 如何應對?

    調查中近一半管理層(45%)將用於信息安全的 IT 預算,增加 10% 以上,這表明 CFO 需花費比他們預測更多預算。對於外判網絡安全服務,近一半受訪者將增加超過 10% 支出。

    對許多公司而言,疫情嚴重打擊網絡安全預算,因安全問題變得過於困難,且成本高昂,無法內部處理。外判 CISO (安全主管)和虛擬 CISO 諮詢服務,可協助公司制定預防、檢測和舒緩網絡威脅的策略,作為一項持續或臨時服務,直至成功聘請 CISO。

    BEC 成重大網絡事件主因

    從攻擊者角度來看,Business Email Compromise(商務電子郵件入侵,BEC)是一種相對容易的騙局,這類騙局不需要復雜的編碼或惡意軟件,門檻低之餘,成功率亦很高。

    BEC 本身難以防禦,雖可部署技術防禦措施,但最有效的安全預防措施,是在員工中建立對這類型詐騙的認識。

    報告建議企業使用四招防止 BEC:

    1.       避免過度分享
    小心在網上或社交媒體上分享信息,不要點擊未經請求的更新或驗證帳戶信息。

    2.       設立驗證要求
    例如不要使用潛在詐騙者提供的電話號碼,並確定請求是否合法。

    3.       謹慎行事
    仔細檢查電子郵件地址、URL 等,切勿開啟來自未知發件人的電子郵件附件,並對緊急請求持懷疑態度。

    4.       使用MFA
    在允許的情況下,設置多重身份驗證,即使憑據被盜,攻擊者也更難獲得帳戶訪問權限。

    報告提到,儘管媒體大量報導,但組織似乎較少受到勒索軟件攻擊。在過去 18 個月,只有 33% 的人表示攻擊源自勒索軟件,為所有網絡威脅中最少。

    Kroll 網絡風險執行董事 James McLeary 表示 ︰ 「調查揭示網絡安全事故在亞太區更為普遍,這可能使財務總監們對其企業應對網絡攻擊的能力更具信心。耐人尋味的是,儘管網絡攻擊時有發生,但亞太區的財務總監們,卻鮮少接獲公司資訊保安團隊匯報相關風險或議題,這或許說明亞太地區的企業架構較為不同,網絡安全和財務部門一般互為獨立。」

    從調查結果來看,CFO 在網絡規劃方面並不知情,他們需要多方面參與,如從模擬網絡攻擊的演習,至與 CISO 密切協調;在董事會層面的審計,以及與風險委員會提供建議和參與。網絡風險及其後果在不斷演變,CFO 也必須加深對網絡的了解。