با بررسی 2،256 نفر از تصمیم‌گیرندگان غیرمرتبط با شبکه و IT، در پنجمین گزارش سالانه Risk:Value از NTT Security، اهمیت ریسک و ارزش امنیت در تجارت، مورد مطالعه قرار گرفت. این بررسی شامل مدیران اجرایی سطح C و سایر تصمیم‌گیرندگان ارشد از 20 کشور و از بخش‌های متعدد صنعت انجام شده‌ است.

یافته‌های امسال امنیت سایبری و سرقت داده‌ها را در بین سه مورد از پنج ریسک بزرگ تجاری قرار داد. این موضوع نشان می‌دهد که سازمان‌ها از خطرات ناشی از تهدیدات سایبری آگاه هستند. در حقیقت، ریسک «بحران اقتصادی یا مالی» دغدغه‌های آنها را در مورد «حملات سایبری به سازمان» در صدر قرار می‌دهد. اکثریت قریب به اتفاق پاسخ دهندگان (84 درصد) بر این باورند که امنیت قوی سایبری به مشاغل آنها کمک می‌کند. در حالی که 88 درصد معتقدند امنیت سایبری نقش بزرگی در جامعه دارد.

برای هر سازمان موجود در تحقیق طی دو سال گذشته، NTT Security پاسخ‌های مربوط به عملکرد خوب و بد در امنیت سایبری را تجزیه و تحلیل کرده است. به عملکرد خوب نمرات مثبت و به عملکرد بد نمره منفی داده شده است. نتایج حاصل عدم پیشرفت نگران‌کننده‌ای را نشان می‌دهد: در سال 2019 مانند سال 2018، میانگین نمره فقط 3+ بود، بدین معنی که تقریباً به اندازه عملکرد خوب، عملکرد بد وجود دارد. 32 درصد از مشاغل کمتر از صفر نمره می‌گیرند: یعنی آنها عملکرد بد بیشتری نسبت به عمل خوب نشان داده‌اند.

در هند شاهد بهترین عملکرد در جهان از نظر امنیت سایبری هستیم. از آنجا که عملکرد خدمات مالی، ارتباطات از راه دور، صنایع شیمیایی، داروسازی، نفت و گاز و بخش مراقبت‌های خصوصی بهداشتی، متاثر از استحکام زیرساخت‌های مهم ملی است، عملکرد سازمان‌ها در فرانسه، آلمان و سنگاپور در سال گذشته بدتر شده است.

 در چه جاهایی مشاغل نتوانسته‌اند همگام با افزایش تهدیدات سایبری پیشرفت کنند؟

  • امسال کمتر از نیمی (48 درصد) از پاسخ‌دهندگان تمام «داده‌های مهم» خود را «کاملاً ایمن» می‌دانند؛ دقیقاً همان رقم در سال 2018؛
  • بیش از یک سوم (36 درصد) از پاسخ‌دهندگان ترجیح می‌دهند به هکرها پول بدهند، اما بیش از این در امنیت اطلاعات سرمایه‌گذاری نکنند؛ همان رقم سال 2018، باز هم نشان از عدم پیشرفت دارد.
  • اگرچه 83 درصد از پاسخ‌دهندگان احساس می‌كنند كه رعایت مقررات مهم است، از هر 7 نفر، 1 نفر نمی‌داند که سازمانش از چه مقرراتی پیروی می‌کند.
  • تنها 30 درصد افراد اعتقاد دارند که ملزم به پیروی از قواعد عمومی حافظت از داده هستند.
  • بودجه عملیاتی منتسب به امنیت از سال 2018 کاهش یافته و به 16 درصد رسیده است.
  • سازمان‌ها در مورد سیاست‌ها و فرآیندهای داخلی، هنوز هم قادر به پیشبرد فعالیت‌هایشان نیستند. 58 درصد سیاست رسمی امنیت اطلاعاتی را در دست اجرا دارند، که فقط 1 درصد نسبت به سال گذشته بیشتر شده است. کمی بیش از نیم (52 درصد) دارای برنامه پاسخ حوادث هستند که نسبت به سال 2018، 3 درصد افزایش یافته است.
  • حدود نیمی معتقدند که امنیت مجازی «مشکل بخش فناوری اطلاعات است و نه کل کسب و کار».
  • درصدی از کسب‌وکارها هنوز فاقد مهارت یا منابع هستند و این نشان می‌دهد که کسب‌وکارها نیاز به کمک بیشتری از اشخاصی دیگر در ارائه امنیت هستند.

هزینه و زمان صرف شده برای بازیابی از یک رخنه امنیتی چقدر است؟

گزارش Risk: Value در سال 2019 همچنین نشان می‌دهد که زمان صرف شده برای بازیابی از یک رخنه به طور متوسط 66 روز است که با افزایش 9 روز نسبت به سال 2018، مواجه شده اسات. برآورد شده است که کسری درآمد از نظر درصد نیز سالانه است: 12.7 درصد در سال 2019، در مقایسه با 10.3 درصد در سال 2018 و 9.9 درصد در سال 2017 است که در حال بیشتر شدن است.

براساس این گزارش، هزینه بازیابی از یک رخنه امنیتی، به طور متوسط 1.2 میلیون دلار است. به ویژه در نوردیک، پیش‌بینی می شود که هزینه‌ها بسیار بیشتر باشد. در حالی که نروژ 1.8 میلیون دلار و سوئد در وهله اول با هزینه‌های بازیابی پیش‌بینی شده برای یک کسب و کار با رخنه امنیتی 3 میلیون دلار، بیش از دو برابر میانگین جهانی است. در این زمینه صنعت نفت و گاز جایگاه نخست را به خود اختصاص داده است و انتظار می‌رود 2.3 میلیون دلار برای تلاش‌های بازیابی هزینه کند.

گری سایداوی معاون مدیر اتحاد و استراتژی امنیتی در NTT Security می‌گوید: « گزارش امسال Risk:Value نشان می‌دهد که شركت‌ها در حرکت خود به سمت آمادگی امنیت سایبری متوقف شده‌اند. امنیت سایبری می‌تواند به کسب و کارها و جامعه کمک کند. اما در عین حالی سازمانها از مخاطرات امنیتی آگاهی خوبی دارند، هنوز توانایی و یا شاید اراده‌ای برای مدیریت مؤثر آنها ندارند. ما هنوز شاهد توجه کمی در حوزه‌هایی مثل سیاست‌های امنیتی داخلی و برنامه‌های پاسخ به حوادث هستیم. همچنین در مورد مشکلات امنیتی که شرکت‌ها را تحت تأثیر قرار می‌دهند، آگاهی مناسبی وجود ندارد. متاسفانه همه فکر می‌کنند که وقتی مشکلی پیش آمد، قصور از بخش IT است. طراحی و اجرای راهبردهای امنیت سایبری باید بهبود یابد. درغیراینصورت ریسک تجاری به سرعت برای سازمان‌ها افزایش خواهد یافت.»