93%的受访者承认,由于供应链薄弱,他们遭受了网络攻击。在过去的12个月里,从2020年开始,网络攻击的平均2.7次增长至2021年3.7同比增长37%。
这项研究是由的Opinion Matters该组织采访并调查了美国、加拿大、德国、荷兰、英国和新加坡的1200名首席信息官、首席信息安全官和首席采购官。他们来自商业服务、金融服务、医疗保健和制药、制造业、公用事业和能源,以及国防等行业。
许多企业仍然没有优先考虑其脆弱的供应链
- 只有13%的企业表示,第三方网络风险不是优先事项,与去年相比有所下降。去年,22%的企业表示,供应链和第三方网络风险不是优先事项。
- 企业评估和审计供应商的数量逐年下降:47%的企业每年审计或报告供应商的安全,而2020年的比例为32%。
- 38%的受访者表示,他们不知道第三方供应商的网络安全何时或是否有问题,而去年的比例是29%。
- 91%的受访者表示,2021年第三方网络风险管理预算正在,2020年这一比例为81%。
Blue Voyant公司第三方网络风险管理全球主管Adam Bixler评论研究结果时说:“虽然我们看到人们对这个问题的理解正在提高,但数据泄露及其负面影响仍然令人惊讶,而持续监控的普及率仍然令人担忧。第三方网络风险只能通过向高管团队和董事会明确和频繁地报告,才能成为战略优先事项。
只要网络风险仍然是一个每年只讨论一两次(或更少)的项目,从战略角度来看,网络风险管理将继续低迷,直到数据泄露不可避免地发生,阻碍业务运营或使企业陷入困境。”
尽管预算增加,但企业仍在经历许多痛点
预算增长的报告几乎与去年的数字完全一致。29%的企业表示,预算增长率为26%~50%;42%的企业表示,预算增长了51%~100%,17%的企业表示报告增加了100%或更多。总的来说,91%的企业表示计划增加预算。
然而,目前尚不清楚这些不断增加的投资在多大程度上是相互协调的。接受调查的企业报告了几乎相同的痛点:管理误报、管理数据量、确定风险优先级、了解自己的风险状况等。企业报告中存在如此多问题的事实表明,增加更多预算并没有显著降低风险。
Adam Bixler继续说道:“预算的增加表明,企业意识到有必要投资于网络安全和供应商风险管理。然而,广泛而一致的痛点表明,增加投资并没有达到预期的效果。这与缺乏可见性、监控和高级报告有关,突出了在处理第三方网络风险时缺乏必要的战略和措施。不幸的是,这只会导致更多的违规行为。”
不同行业的差异
对不同业务部门的回应分析表明,他们在第三方网络风险方面的经验存在很大差异:
- 在其网络安全或风险团队中,商业服务部门的员工数量最多,因此第三方风险可以每天监控。
- 医疗保健行业表现出最高的第三方网络风险意识。55%的医疗机构表示,识别风险是关键优先事项,平均比例为42%。然而,在过去的12个月里,29%的医疗机构报告了该行业数据泄漏的发生率6~10次数据泄漏事件。
- 制造业的受访者表示,通常不会将供应链/第三方网络安全风险作为关键优先事项,而且可能每年只报告一次。
Adam Bixler评论说:“我们的研究表明,垂直行业、全球供应链和供应商中存在大量未知的第三方网络风险,企业经常遭受数据泄漏攻击。虽然预算在增加,但关键问题是将资金投入到哪里,以产生实际影响,降低第三方网络风险。缺乏可见性、战略和监控意味着这种情况不太可能改善,除非得到适当的关注。”
Blue Voyant公司首席执行官Jim Rosenthal总结说:“每隔几周或几个月对供应链进行一次审计或评估,不足以领先于敏捷和持续的网络攻击者。对新发现的关键漏洞的持续监控和快速行动需要成为有效管理第三方风险的必要条件。”