英國政府發佈年度網路資訊安全漏洞調查
    
【資料來源】    continuitycentral.com
【發佈日期】    2023年 4月 21日
【介紹者】    閻書孝研究員
【審訂者】    邱明志委員
【簡介】    

由英國政府委託長期執行的網路資訊安全漏洞調查(Cyber Security Breaches Survey)，是一份針對英國網路韌性之研究調查，並且符合美國國家網路策略(National Cyber Strategy)。2023年的研究顯示，英國組織的網路資訊韌性似乎正在倒退。

該研究「探索企業、慈善機構以及教育機構網路安全的政策、流程及方法。它也考慮了這些組織面對不同網路攻擊與網路犯罪，以及這些組織如何受到影響與如何回應。」

這份廣泛詳盡的報告要點有：

小型組織重視網路韌性的程度可能不如以往

網路安全漏洞與攻擊仍是共同威脅。然而，比起去年小型組織較少認出它們。這或許反映出在當前經濟氣候下，小型組織的高階經理人看待網路安全的優先性不如前幾年，因此較少進行監督與記錄漏洞或攻擊。

大體上32％的企業與24％的慈善機構會回顧過去12個月所有的漏洞或攻擊。遠高於上述比例的有中型企業(59％)、大企業(69%)以及年收益在50萬英鎊以上的高所得慈善機構(56%)。

比起2022年39％企業與30％慈善機構，今年該項數字減少。下滑原因來自小型組織—中大型企業、高收益的慈善機構仍與去年水準近似。

網路衛生(Cyber Hygiene)正在弱化

最常見的網路威脅相對不複雜，因此英國政府指導規則建議企業與慈善機構運用一組網路衛生措施來保護自己。然而，從過去三波調查來看，某些網路衛生區塊看到了企業一致性下滑，包括：
    
*使用密碼政策(2021年是79％、2023年是70％)
*使用網路防火牆(2021年是78％、2023年是66％)
*限制管理權限(2021年是75％、2023年是67％)
*14天內進行軟體安全更新之政策(2021年是43％、2023年是31％)

這些趨勢主要反映了微型企業總量的轉變，其次是中小企業—大型企業的結果並未改變。

組織未能執行網路安全風險評估

比起慈善機構，更大比例的企業會採取行動來辨識網路風險。大企業在這方面最為先進。這是多數大型企業首次檢討其供應鏈風險，儘管就各種規模的組織而言，此舉仍然相當罕見。

去年有三成的公司完成了網路資訊安全風險評估(29％，相對於慈善機構之27％)—中型企業升至51％、大型企業升至63％。

公司報導網路風險仍相對不常見

針對網路安全，董事會議合與公司治理的方法在大型組織往往較為精密，儘管公司對網路風險報導仍相對不常見，連在大公司之間亦復如此。

三成的公司(30%)與慈善機構(31%)有董事會成員或受託單位來明確負責網路安全事宜，作為其職掌的一部份—在中型企業升至41％、大型企業升至63％。

僅少數組織具備商定的事故應變策略

雖然大多數組織說，它們在網路事件發生後會採取若干行動，實際上少數才具備商定的程序來應援。這指明研究可持續改善的區塊，以便明年繼續監測。

四分之一的企業以及五分之二的慈善機構提及最常見的程序是設置特定角色及責任並指派給個人，有外部報導與內部報導的指導規則。

正式事故應變計畫並不普遍(21%的企業與16％的慈善機構才有)。在中型企業上升至47％、大型企業升至64％，高收益慈善機構則為38％。

定性的研究發現顯示，其他可能改善的領域在於當提到事故應變時，資訊科技或專業網路團隊和其他員工(包括經營團隊)之間相對脫節。彌補此落差需要資訊科技團隊與其他員工之間有良好、定期的溝通。事件後的檢討也被視為是讓其他員工參與網路安全的一種方式。

【網址連結】
https://www.continuitycentral.com/index.php/news/technology/8433-uk-government-releases-annual-cyber-security-breaches-survey