根據Kroll發表的《網絡防禦狀況報告2023:信任誤判》指出,企業內部缺乏信任的情況十分普遍,高達95%的資訊安全決策者認為其公司管理層不相信他們能夠保護企業免受網絡攻擊威脅,有超過4成人(42%)則表示公司欠缺對員工的信任成為網絡安全工作上的最大挑戰。報告亦剖析其他限制網絡安全發展的因素,如企業忽視網絡保險的重要性,並探討信任錯托對企業應對網絡安全挑戰時所產生的廣泛影響。
此外,近半數(48%)受訪香港企業的資訊安全決策者認為,業績目標過高為企業內部信任度下降的主要原因,且是造成他們制訂穩健網絡安全策略的一大障礙。相比香港企業,受訪全球企業則認為企業內部信任度下降的主要原因是缺乏溝通(47%)。
員工是最值得信賴的網絡安全措施
Kroll的調查訪問資訊科技安全決策者最為信賴的網絡安全措施,發現比起網絡安全警報,工具及威脅情報,他們更相信員工避免網絡攻擊的能力。報告亦指出,全球企業在制訂網絡安全策略時,應在不同措施及信任度上取得平衡。比較各種預防企業遭受網絡攻擊的方法,員工避免成為網絡攻擊受害者的能力獲最多受訪者(66%)信任,而只有56%受訪者認為網絡威脅情報的準確度最值得他們信任。
香港企業缺乏對網絡保險的認識
雖然不少企業在網絡防禦方面已採取多元化策略,但Kroll的調查發現,香港企業對網絡保險的認知較低。報告指出,香港是全球最少有企業配備網絡安全保險的市場之一,只有16%的受訪者指其企業有投保。雖然這比全球的23%略低,但仍有五分一的企業受網絡保險保障。此外,新加坡受訪者認為,最大影響是企業會購置不必要的科技配套(46%),而日本受訪者最擔憂會導致危機應變速度緩慢。
員工是最值得信賴的網絡安全措施
報告發現,員工避免成為網絡攻擊受害者的能力是最值得信賴的網絡安全措施之一,獲得全球66%的受訪者信任,比其他措施如網絡安全警報、工具及威脅情報更受資訊科技安全決策者青睞。報告建議企業在制定網絡安全策略時,應在不同措施及信任度上取得平衡,同時加強員工教育及訓練,以提高員工對網絡安全的意識和能力。
企業內部缺乏信任是限制網絡安全發展的主要因素之一,而香港企業在資訊科技安全人員和員工方面的信任度均較低。為提升企業的網絡安全能力,報告建議企業應重視網絡保險的重要性,加強員工教育及訓練,並在制定網絡安全策略時,平衡不同措施及信任度,以提高企業對網絡攻擊的防禦能力。