93%的受訪者承認(rèn)，由于供應(yīng)鏈環(huán)節(jié)薄弱，他們?cè)馐芰司W(wǎng)絡(luò)攻擊。在過(guò)去12個(gè)月里，遭遇網(wǎng)絡(luò)攻擊的平均次數(shù)從2020年的2.7次增長(zhǎng)到2021年的3.7次，同比增長(zhǎng)37%。

這項(xiàng)研究是由Opinion Matters組織進(jìn)行的，對(duì)于美國(guó)、加拿大、德國(guó)、荷蘭、英國(guó)和新加坡的1200名首席信息官、首席信息安全官和首席采購(gòu)官進(jìn)行了采訪和調(diào)查，他們來(lái)自商業(yè)服務(wù)、金融服務(wù)、醫(yī)療保健和制藥、制造業(yè)、公用事業(yè)和能源，以及國(guó)防等多個(gè)行業(yè)，他們所在公司的員工人數(shù)都在1000人以上。

[[430824]]

很多企業(yè)仍然沒(méi)有優(yōu)先考慮其脆弱的供應(yīng)鏈

• 只有13%的企業(yè)表示第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)不是優(yōu)先考慮的問(wèn)題，這與去年相比有所下降，去年有22%的企業(yè)表示供應(yīng)鏈和第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)不是優(yōu)先考慮的問(wèn)題。
• 企業(yè)評(píng)估和審計(jì)供應(yīng)商的次數(shù)逐年下降：47%的企業(yè)每年對(duì)供應(yīng)商安全進(jìn)行審計(jì)或報(bào)告的次數(shù)不超過(guò)兩次，而2020年這一比例為32%。
• 38%的受訪者表示，他們無(wú)法知道第三方供應(yīng)商的網(wǎng)絡(luò)安全何時(shí)或是否出現(xiàn)問(wèn)題，而去年這一比例為29%。
• 91%的受訪者表示，第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的預(yù)算在2021年正在增加，而在2020年這一比例為81%。

Blue Voyant公司第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)管理全球主管Adam Bixler在評(píng)論研究結(jié)果時(shí)表示:“盡管我們看到人們對(duì)這一問(wèn)題的認(rèn)識(shí)正在提高，但數(shù)據(jù)泄露及其帶來(lái)的負(fù)面影響仍然高得驚人，而持續(xù)監(jiān)控的普及率仍然低得令人擔(dān)憂。第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)只有通過(guò)向高管團(tuán)隊(duì)和董事會(huì)明確和頻繁地通報(bào)，才能成為戰(zhàn)略優(yōu)先事項(xiàng)。

只要網(wǎng)絡(luò)風(fēng)險(xiǎn)仍然是每年只討論一兩次(或更少)的項(xiàng)目，那么從戰(zhàn)略角度來(lái)看，網(wǎng)絡(luò)風(fēng)險(xiǎn)管理將繼續(xù)萎靡不振，直到不可避免發(fā)生數(shù)據(jù)泄露事件、妨礙業(yè)務(wù)運(yùn)營(yíng)或讓企業(yè)陷入困境。”

雖然預(yù)算增加但企業(yè)仍在經(jīng)歷多個(gè)痛點(diǎn)

有關(guān)預(yù)算增加規(guī)模的報(bào)告幾乎與去年的數(shù)字完全一致。29%的企業(yè)表示預(yù)算的增長(zhǎng)幅度為26%～50%;42%的企業(yè)表示預(yù)算增長(zhǎng)了51%～100%，17%的企業(yè)表示報(bào)告增長(zhǎng)了100%或更多?？傮w而言，91%的企業(yè)表示計(jì)劃增加預(yù)算。

然而，目前尚不清楚這些不斷增加的投資在多大程度上是相互協(xié)調(diào)的。接受調(diào)查的企業(yè)報(bào)告了比例幾乎相同的痛點(diǎn)：管理誤報(bào)、管理數(shù)據(jù)量、確定風(fēng)險(xiǎn)優(yōu)先級(jí)、了解自己的風(fēng)險(xiǎn)狀況等。企業(yè)報(bào)告如此多問(wèn)題的事實(shí)表明，增加更多預(yù)算并沒(méi)有使風(fēng)險(xiǎn)顯著降低。

Adam Bixler繼續(xù)說(shuō)道:“預(yù)算的增加表明，企業(yè)意識(shí)到有必要投資于網(wǎng)絡(luò)安全和供應(yīng)商風(fēng)險(xiǎn)管理。然而，廣泛而一致的痛點(diǎn)表明，增加這一投資并沒(méi)有達(dá)到它應(yīng)有的效果。這與缺乏可見(jiàn)性、監(jiān)控和高層報(bào)告有關(guān)，凸顯了在應(yīng)對(duì)第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)缺乏必要的戰(zhàn)略和措施，不幸的是，這只會(huì)導(dǎo)致更多的違規(guī)行為。”

不同行業(yè)的差異

對(duì)不同商業(yè)部門(mén)回應(yīng)的分析表明，他們?cè)诘谌骄W(wǎng)絡(luò)風(fēng)險(xiǎn)方面的經(jīng)驗(yàn)存在相當(dāng)大的差異：

• 在其網(wǎng)絡(luò)安全或風(fēng)險(xiǎn)團(tuán)隊(duì)中，商業(yè)服務(wù)部門(mén)的員工人數(shù)最多，因此可以每天監(jiān)控第三方風(fēng)險(xiǎn)。
• 醫(yī)療保健行業(yè)表現(xiàn)出最高的第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)，55%的醫(yī)療機(jī)構(gòu)表示識(shí)別風(fēng)險(xiǎn)是關(guān)鍵優(yōu)先事項(xiàng)，而平均比例為42%。然而，該行業(yè)數(shù)據(jù)泄漏事件發(fā)生率較高，在過(guò)去12個(gè)月，29%的醫(yī)療機(jī)構(gòu)報(bào)告了6～10次數(shù)據(jù)泄漏事件。
• 制造業(yè)的受訪者表示，通常不會(huì)將供應(yīng)鏈/第三方網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作為關(guān)鍵優(yōu)先事項(xiàng)，而且可能每年只報(bào)告一次。

Adam Bixler評(píng)論說(shuō)：“我們的研究表明，在垂直行業(yè)、全球供應(yīng)鏈和供應(yīng)商中存在大量未知的第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)，企業(yè)經(jīng)常遭遇數(shù)據(jù)泄漏攻擊。雖然相關(guān)預(yù)算不斷增加，但關(guān)鍵問(wèn)題是應(yīng)該將資金投向何處，以產(chǎn)生切實(shí)的影響，并減少第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)。缺乏可見(jiàn)度、戰(zhàn)略和監(jiān)控意味著，除非得到適當(dāng)?shù)年P(guān)注，否則這種情況不太可能得到改善。”

Blue Voyant公司首席執(zhí)行官Jim Rosenthal總結(jié)說(shuō)：“每隔幾周或幾個(gè)月就對(duì)供應(yīng)鏈進(jìn)行一次審計(jì)或評(píng)估，并不足以領(lǐng)先于敏捷的、持續(xù)的網(wǎng)絡(luò)攻擊者。持續(xù)監(jiān)控和針對(duì)新發(fā)現(xiàn)的關(guān)鍵漏洞的快速行動(dòng)需要成為有效的第三方風(fēng)險(xiǎn)管理的必要條件。”