网安隐患随着科技发展越来越无孔不入,新加坡网络安全局首个本地网安健康报告显示,虽然多数企业和非营利组织已采取七成的网安措施,但网安局认为仍不足以防范所有网络威胁,必须全面落实所有必要措施。
网安局星期四(3月28日)发布首份新加坡网络安全健康报告(Singapore Cybersecurity Health Report),调查结果显示,本地企业和非营利组织认识到网络安全的重要性,正在采取措施自我保护。
调查询问了参与的企业和组织在资产、保卫、备份、更新、回应五个类别中采取的具体措施,它们平均在每个类别中,采取了约70%的措施。
这项调查于2023年5月至8月进行,就网络安全的各个方面,如遇到网络事件的频率、受到的业务影响类型和网络安全措施的采用程度,对2036家大型和中小企业与组织进行调查。
然而,调查结果显示,只有三分之一的受访组织已全面实施五类措施中的至少三类,因此还有很大的改进空间。
网安局文告指出,只采取部分措施是不够的,必须采取所有基本措施,否则企业与组织仍会面临不必要的网络风险;采用所有五个类别的全套基本措施将全面提升组织的网络安全。
谈及不采取网络安全措施的原因,受访的59%企业和56%非营利组织认为缺乏知识与经验是最大挑战。
第二大原因是46%的企业和49%的非营利组织认为,自己不大可能成为网络攻击的目标。其他原因和挑战包括,缺乏人力或资源、投资回报率低、缺乏预算等。
逾八成企业遇网安事件
尽管如此,每10家企业中就有超过八家在一年中遇到过网络安全事件,当中约半数在一年中遇过多次网安事件。勒索软件、利用社交工程(social engineering)手段诈骗和滥用云配置错误(cloud misconfiguration)是其中最常见的。
网安局提醒,几乎所有网安事件都会带来负面影响,排名前三的影响是业务中断、数据丢失和声誉受损 ;其他后果也包括财务损失和事件应对措施所产生的成本。
以端点数量少于20个的小型企业为例,扣除津贴后,实施基本网络卫生措施的成本约为1800元至4500元不等。这个数额对中小企业虽说不小,但与网络事件造成的业务中断或恢复程序的成本相比,只是小数目。
网安局局长许智贤指出,各组织应将网络安全作为优先事项,并利用现有的津贴和资源迎头赶上。“在事件发生后才这样做,代价会更高。”
自2022年推出网安认证以来,已有超过180个组织获得网络安全基本能力标志(Cyber Essentials),超过60个组织获得新加坡网络安全信誉标志(Cyber Trust)。
网安局还与资讯通信媒体发展局合作推出“网络安全健康检查”(Cybersecurity Health Check),供各组织评估它们的网络卫生状况,与业内同行进行比较,并获取资源以弥补差距。
在回答简短问卷后,各组织将收到一份网络安全健康报告和对于下一步措施的建议。网安局鼓励所有企业和组织使用这一评估工具,改进网安措施,争取最终获得网安认证标志。
赞
