- 本港大型企業可能會蒙受港幣95億(2,490萬美元) 的經濟損失,較中型企業平均的經濟損失多650倍
- 網絡安全問題耽誤了企業的數碼轉型計劃
- 企業越來越常用人工智能以改善網絡安全策略
香港 — 2018年6月14日 — Microsoft委託Frost&Sullivan進行的「了解亞太地區網絡安全威脅形勢:在數碼世界中確保現代企業安全」調查顯示,因網絡安全事故導致的潛在經濟損失可能達到港幣2,500億 (320億美元),約佔本港總值港幣25, 000億 (3,210億美元) GDP中的10%[1]。
調查旨在為業務和IT決策者提供關於該地區網絡安全漏洞的經濟成本的見解,並協助找出企業網絡安全策略中的漏洞。這項研究針對1,300名業務和IT決策者,均來自中型企業 (250-499名員工) 和大型企業 (超過500名員工) 。
研究顯示,近一半受訪的本港企業 (48%) 曾經歷過網絡安全事故或不確定是否發生過網絡安全事故,其中 23%明確表示了解自己經歷的事故,有25%因未進行適當的取證或數據洩露評估而不確定。
Microsoft亞洲首席安全長Michael Montoya表示:「隨著企業實現智能雲端和智能裝置所帶來的機遇,以及優化客戶聯繫及營運,同時亦承擔了新風險。傳統IT界限的消失令網絡犯罪分子有許多新的攻擊對象。企業面臨重大的財務損失、客戶滿意度下降和市場聲譽受損的風險 ── 這些都在近期層出不窮的數據外洩事件中顯而易見。」
網絡安全事故的真實成本 – 經濟、機遇和工作上的損失
研究顯示:
- 本港大型企業可能會蒙受港幣95億 (2,490萬美元) 的經濟損失,較中型企業平均的經濟損失多650倍 (港幣29.8萬 / 3萬8千美元) ;
- 在過去12個月中,網絡攻擊導致四分之三 (75%) 的企業在過去一年有人失業
為計算網絡安全事故的成本,Frost&Sullivan根據調查對象的宏觀經濟數據和見解組成了一個經濟損失模型。模型考慮到網絡安全漏洞可能導致的三種損失:
- 直接:與網絡安全事故相關的財務損失,包括生產力下降、罰款、修復成本等;
- 間接:企業的機會成本,如因聲譽損失所導致的客戶流失;
- 誘發:因數據外洩對更廣泛的生態系統和經濟造成的影響,如消費者和企業支出的下降
Frost & Sullivan亞太區資訊及通訊科技、網絡安全、物聯網及互聯工業行業顧問Kenny Yeo表示:「雖然網絡安全漏洞的直接損失最顯而易見,但這只是冰山一角。我們必須從間接和誘發的角度考慮其他潛在的損失,而企業因遭受網絡安全攻擊所致的經濟損失經常被低估。」
除財務損失外,網絡安全事故亦削弱了本港企業在現今數碼經濟體系中,捕捉未來機遇的能力。63%的受訪者表示,他們的企業因害怕網絡風險而延遲了數碼轉型計劃。
本港企業應對的主要網絡威脅 以及網絡安全策略中的漏洞
雖然知名的網絡攻擊,例如勒索軟件,一直備受企業關注;但研究發現,對遇到網絡安全事故的本港企業而言,數據外洩和數據損壞是最受關注的問題,因其影響最大、而所需的修復時間亦較長。
除外部威脅外,這項研究還揭示了企業在保護數碼財產的網絡安全策略中的漏洞:
- 未優先考慮網絡安全:在遇到網絡攻擊的企業中,只有13%的企業在數碼轉型項目開始之前已考慮網絡安全性,而43%沒有遇到任何網絡攻擊的企業有考慮到網絡安全。其餘企業只會在計劃開始後才考慮網絡安全問題,或者完全沒有考慮網絡安全問題。這限制了他們構思和實踐「安全設計」計劃的能力,可能導致不安全的產品進入市場;
- 創造一個複雜的環境:調查顯示,33%的受訪者擁有超過50種網絡安全解決方案,並可在一小時內從網絡攻擊中恢復過來。相反,56%受訪者只有少於10個網絡安全解決方案,他們亦可在一小時內從網絡攻擊中恢復,打破人們普遍認為部署大量網絡安全解決方案可提供更強保護的概念;以及
- 缺乏網絡安全策略:越來越多的企業正考慮以數碼轉型獲取競爭優勢,但研究表示,較多受訪者 (39%) 認為網絡安全策略只能保護企業免受網絡攻擊,而非策略性業務推動要素。僅有17%的企業將網絡安全策略視為數碼轉型的推動要素
「不斷變化的網絡環境極具挑戰性,但正確結合現今技術、策略和專業知識是有效的應對方法。」Microsoft香港Microsoft 365及Surface業務部主管Isabelle Perl-Scemla表示:「Microsoft透過提供安全的產品和服務平台,結合獨特的智能和不同行業的合作計劃,協助本港企業擁抱這些技術和善用數碼轉型的優勢。」
人工智能 (AI) 是網絡安全防禦的下一個領域
在數碼世界中,網絡威脅不斷演變,攻擊迅速擴大,AI將成為打擊網絡攻擊的強大對手,因為它可以基於數據洞察偵測威脅並採取行動。研究顯示,多於五分之三 (64%) 的本港企業已經或計劃借助AI促進網絡安全。
AI可以快速分析和應對前所未有的大量數據,這能力在現今網絡攻擊的頻率、規模和複雜程度不斷提高的世界中不可或缺。
一個以AI驅動的網絡安全架構將更加智能化,並具備預測能力,使企業能夠在問題出現之前解決或加強其安全狀態。AI亦能為企業提供完成任務的能力,例如識別網絡攻擊、消除持續威脅和修復漏洞,而且比人手處理更快,使它成為在任何企業的網絡安全策略中越來越重要的元素。
給現今企業在數碼世界中的安全建議
AI只是企業需要維持穩健的網絡安全狀況的其中一個元素,為了使網絡安全實踐取得成功,企業亦需要考慮人員、流程和技術,以及它們如何為企業的整體安全狀況作出貢獻。
為協助加強防禦和應對惡意軟件及網絡攻擊,以下是企業可以考慮的五個最佳實踐方法,以提升防禦網絡威脅的能力:
- 將網絡安全定位為數碼轉型推動要素:將網絡安全實踐與數碼轉型分開進行會給員工帶來很多挫敗感。網絡安全是實現數碼轉型的重要因素,以指導和維持企業的安全。同時,數碼轉型亦為企業在實踐網絡安全中提供了一個放棄傳統方法的機會,以採用新方法應對風險;
- 繼續投資加強安全基礎:超過90%的網絡事故可透過維持最基本的最佳實踐方法來避免。使用高強度的密碼、依情況使用多重身份驗證來打擊可疑認證、定期更新裝置的操作系統、軟件和反惡意軟件防護,有效提高網絡攻擊的防範水平。 除了工具套件,還應包括培訓和政策以支持更穩固的基礎;
- 透過最佳的套件工具提升技能和工具的能力:最好的工具對業餘者毫無用處。企業應減少工具的數量和安全操作的複雜性,讓操作人員熟練掌握可用的工具。優先排序最佳套件工具是一種擴大風險承擔範圍的方法,亦不會造成引入太多工具的情況或增加環境複雜性。如套件中的工具能相互融合,則能發揮更大保護作用;
- 評估、審核和持續合規:企業應持續遵守合規,定期進行評估和審核,以測試和解決企業在迅速轉型中出現的漏洞。董事會不僅要遵守行業法規,還應觀察企業在安全實踐上的進展;以及
- 利用AI和自動化提升效能和潛力:由於安全功能供應短缺,企業需考慮自動化和AI來提升安全操作的效能和潛力。AI目前的進步已展示出很大的期望,不僅能檢測到原本會被忽略的問題,亦能從各種數據信號中獲得建議。這些系統在雲端實踐方面取得了巨大成功,可協助企業快速處理大量數據,從而利用自動化和AI釋放網絡安全專才,讓他們專注於研究高更複雜的活動。
如欲了解更多有關研究的資訊,請瀏覽:https://news.microsoft.com/apac/features/cybersecurity-in-asia/
想了解全球和亞太地區的網絡威脅情況,請下載Microsoft安全智能報告第23卷::https://info.microsoft.com/ww-landing-Security-Intelligence-Report-Vol-23-Landing-Page-eBook.html
###
關於「了解亞太地區網絡安全威脅形勢:在數碼世界中確保現代企業安全」研究
這項研究包括1,300名受訪者的調查,他們來自13個市場 - 澳洲、中國、香港、印度尼西亞、印度、日本、韓國、馬來西亞、新西蘭、菲律賓、新加坡、台灣和泰國。
所有受訪者都是涉及製定網絡安全策略的企業和IT決策者。其中44%是商業決策者,包括總經理、首席運營官和董事,56%是IT決策者,包括首席信息官、首席信息保護官和IT董事。29%的參與者來自中型企業 (250至499名員工) ; 71%來自大型企業 (超過500名員工) 。
關於Microsoft
Microsoft (Nasdaq “MSFT” @microsoft) 致力於發展智能雲端與智能裝置時代的數碼轉型,其使命是幫助全球每個人和企業成就更多、實現更多。
如有任何疑問,請聯繫:
Microsoft Hong Kong
錢展騰
(852) 2804-4266
[email protected]
BlueCurrent for Microsoft
黎穎宜
(852) 2586-7884
[email protected]
[1] 世界銀行亞太區GDP資訊: https://data.worldbank.org/indicator/NY.GDP.MKTP.CD
