信息安全事件增多 我国受损企业平均损失上千万

　　6月9日，某机构曝光了黑客通过公共场所免费WIFI诱导用户链接而获取手机中银行卡、支付账户等信息从而盗取资金的消息。

　　7月2日，僵尸网络犯罪集团通过中间人方式攻击浏览器拦截Boletos（一种巴西流行的支付方式），37亿多美元的交易受到影响。

　　9月4日，全球主要的一个零售商支付系统被攻击，导致5600万信用卡/借记卡的信息泄露。

　　……

　　随着经济全球化发展以及互联网对各个领域的广泛渗透，信息安全威胁也日益增加。普华永道26日发布的《全球信息安全状况调查报告》显示，年收益超过10亿美元的大型企业检测到的信息安全事件比去年增加44%。

　　信息安全事件频发，与此同时，它导致的管理及降低损害的财务成本也持续攀升。上述报告称，全球以及中国大陆与香港每年因信息安全导致的平均损失分别达270万美元和240万美元，较去年分别增长了34%和33%，而且损失超过2000万美元以上的企业数量也有所增长，商业机密被盗引起的财务损失尤其令人震惊。据普华永道估算，全球每年由于商业机密被盗取而产生的财务损失高达7490亿美元至22000亿美元不等。

　　“全球信息安全状况调查证实了我们的顾虑，已检测到的信息安全事件带来的财务影响正在迅速增加，同时仍有许多攻击未被发现或者报告。”普华永道中国网络安全服务合伙人冼嘉乐表示，“仅在中国大陆与香港地区，失窃的知识产权或者商业机密的实际价值已远超数十亿美元。”

　　面对日益严峻的信息安全形势，世界各国在投入、应对举措方面却显得不足。报告称，许多企业虽然对网络犯罪的危害已有充分意识，但安全投入尚未相应增加。全球针对安全管控的预算较2013年下降了4%；在过去五年中，信息安全的预算仅占整体IT预算的4%，甚至更少。“尽管我国在信息安全方面的预算有所增长，但很多企业仍过多依赖外部执法机构对信息安全事件的识别和警告，少有企业自测和主动发现。”冼嘉乐说。

　　破解信息安全难题已成为企业的当务之急，企业又该如何应对呢？

　　冼嘉乐告诉中国经济网记者，普华永道对最有可能引发信息安全事件的内部因素进行了调查，结果发现，由内部人员与第三方供应商所引起的安全事件在增加。报告称，三成以上的全球受访者认为，现有雇员以及离任雇员是最有可能引发信息安全事件的威胁,但是企业的关键防护机制缺乏力度，只有51%的企业有员工安全意识培训机制，并监控用户是否符合安全策略要求。除了雇员，由于给第三方供应商提供准入而产生的安全事件也在增加，而相应的防范措施不足。数据显示，只有50%的受访企业对提供服务的第三方进行安全评估，55%的企业对外部合作伙伴、供应商、服务商设置安全门槛控制。

　　对于引发信息安全事件的可能外部因素，黑客和竞争对手被认为是主因。报告显示，中国大陆及香港47%的受访者认为竞争对手最有可能导致信息安全事件，33%的受访者认为黑客最有可能，全球这两方面数据也达到24%。

　　找准了主要症结，下一步是精准下药。冼嘉乐认为，应该马上行动起来，构建迈向战略性安全的管控体系，确保信息安全的管控策略与商业目标一致。为此，报告提出，一是要识别最具价值的信息资产，并优先保护高价值数据；二是评估第三方与供应链合作伙伴的信息安全状况，以确保第三方也同样符合企业要求的安全策略及最佳实践；三是充分了解对手，包括他们的动机，可能会利用的资源，以及他们会使用的攻击方式等等，最大限度减少对各类攻击的响应时间。同时积极参与多方合作，提高企业对网络安全威胁与应对的意识。(中国经济网记者 刘松柏)

(来源:中国经济网)