با بررسی 2،256 نفر از تصمیمگیرندگان غیرمرتبط با شبکه و IT، در پنجمین گزارش سالانه Risk:Value از NTT Security، اهمیت ریسک و ارزش امنیت در تجارت، مورد مطالعه قرار گرفت. این بررسی شامل مدیران اجرایی سطح C و سایر تصمیمگیرندگان ارشد از 20 کشور و از بخشهای متعدد صنعت انجام شده است.
یافتههای امسال امنیت سایبری و سرقت دادهها را در بین سه مورد از پنج ریسک بزرگ تجاری قرار داد. این موضوع نشان میدهد که سازمانها از خطرات ناشی از تهدیدات سایبری آگاه هستند. در حقیقت، ریسک «بحران اقتصادی یا مالی» دغدغههای آنها را در مورد «حملات سایبری به سازمان» در صدر قرار میدهد. اکثریت قریب به اتفاق پاسخ دهندگان (84 درصد) بر این باورند که امنیت قوی سایبری به مشاغل آنها کمک میکند. در حالی که 88 درصد معتقدند امنیت سایبری نقش بزرگی در جامعه دارد.
برای هر سازمان موجود در تحقیق طی دو سال گذشته، NTT Security پاسخهای مربوط به عملکرد خوب و بد در امنیت سایبری را تجزیه و تحلیل کرده است. به عملکرد خوب نمرات مثبت و به عملکرد بد نمره منفی داده شده است. نتایج حاصل عدم پیشرفت نگرانکنندهای را نشان میدهد: در سال 2019 مانند سال 2018، میانگین نمره فقط 3+ بود، بدین معنی که تقریباً به اندازه عملکرد خوب، عملکرد بد وجود دارد. 32 درصد از مشاغل کمتر از صفر نمره میگیرند: یعنی آنها عملکرد بد بیشتری نسبت به عمل خوب نشان دادهاند.
در هند شاهد بهترین عملکرد در جهان از نظر امنیت سایبری هستیم. از آنجا که عملکرد خدمات مالی، ارتباطات از راه دور، صنایع شیمیایی، داروسازی، نفت و گاز و بخش مراقبتهای خصوصی بهداشتی، متاثر از استحکام زیرساختهای مهم ملی است، عملکرد سازمانها در فرانسه، آلمان و سنگاپور در سال گذشته بدتر شده است.
در چه جاهایی مشاغل نتوانستهاند همگام با افزایش تهدیدات سایبری پیشرفت کنند؟
- امسال کمتر از نیمی (48 درصد) از پاسخدهندگان تمام «دادههای مهم» خود را «کاملاً ایمن» میدانند؛ دقیقاً همان رقم در سال 2018؛
- بیش از یک سوم (36 درصد) از پاسخدهندگان ترجیح میدهند به هکرها پول بدهند، اما بیش از این در امنیت اطلاعات سرمایهگذاری نکنند؛ همان رقم سال 2018، باز هم نشان از عدم پیشرفت دارد.
- اگرچه 83 درصد از پاسخدهندگان احساس میكنند كه رعایت مقررات مهم است، از هر 7 نفر، 1 نفر نمیداند که سازمانش از چه مقرراتی پیروی میکند.
- تنها 30 درصد افراد اعتقاد دارند که ملزم به پیروی از قواعد عمومی حافظت از داده هستند.
- بودجه عملیاتی منتسب به امنیت از سال 2018 کاهش یافته و به 16 درصد رسیده است.
- سازمانها در مورد سیاستها و فرآیندهای داخلی، هنوز هم قادر به پیشبرد فعالیتهایشان نیستند. 58 درصد سیاست رسمی امنیت اطلاعاتی را در دست اجرا دارند، که فقط 1 درصد نسبت به سال گذشته بیشتر شده است. کمی بیش از نیم (52 درصد) دارای برنامه پاسخ حوادث هستند که نسبت به سال 2018، 3 درصد افزایش یافته است.
- حدود نیمی معتقدند که امنیت مجازی «مشکل بخش فناوری اطلاعات است و نه کل کسب و کار».
- درصدی از کسبوکارها هنوز فاقد مهارت یا منابع هستند و این نشان میدهد که کسبوکارها نیاز به کمک بیشتری از اشخاصی دیگر در ارائه امنیت هستند.
هزینه و زمان صرف شده برای بازیابی از یک رخنه امنیتی چقدر است؟
گزارش Risk: Value در سال 2019 همچنین نشان میدهد که زمان صرف شده برای بازیابی از یک رخنه به طور متوسط 66 روز است که با افزایش 9 روز نسبت به سال 2018، مواجه شده اسات. برآورد شده است که کسری درآمد از نظر درصد نیز سالانه است: 12.7 درصد در سال 2019، در مقایسه با 10.3 درصد در سال 2018 و 9.9 درصد در سال 2017 است که در حال بیشتر شدن است.
براساس این گزارش، هزینه بازیابی از یک رخنه امنیتی، به طور متوسط 1.2 میلیون دلار است. به ویژه در نوردیک، پیشبینی می شود که هزینهها بسیار بیشتر باشد. در حالی که نروژ 1.8 میلیون دلار و سوئد در وهله اول با هزینههای بازیابی پیشبینی شده برای یک کسب و کار با رخنه امنیتی 3 میلیون دلار، بیش از دو برابر میانگین جهانی است. در این زمینه صنعت نفت و گاز جایگاه نخست را به خود اختصاص داده است و انتظار میرود 2.3 میلیون دلار برای تلاشهای بازیابی هزینه کند.
گری سایداوی معاون مدیر اتحاد و استراتژی امنیتی در NTT Security میگوید: « گزارش امسال Risk:Value نشان میدهد که شركتها در حرکت خود به سمت آمادگی امنیت سایبری متوقف شدهاند. امنیت سایبری میتواند به کسب و کارها و جامعه کمک کند. اما در عین حالی سازمانها از مخاطرات امنیتی آگاهی خوبی دارند، هنوز توانایی و یا شاید ارادهای برای مدیریت مؤثر آنها ندارند. ما هنوز شاهد توجه کمی در حوزههایی مثل سیاستهای امنیتی داخلی و برنامههای پاسخ به حوادث هستیم. همچنین در مورد مشکلات امنیتی که شرکتها را تحت تأثیر قرار میدهند، آگاهی مناسبی وجود ندارد. متاسفانه همه فکر میکنند که وقتی مشکلی پیش آمد، قصور از بخش IT است. طراحی و اجرای راهبردهای امنیت سایبری باید بهبود یابد. درغیراینصورت ریسک تجاری به سرعت برای سازمانها افزایش خواهد یافت.»