Sophos調查顯示勒索軟體事件激增 企業仍認為公司不會受攻擊

Sophos是新一代網路安全領域的全球領導者，發表和研究機構Tech Research Asia(TRA)合作進行的《亞太地區和日本網路安全未來》第三版調查報告。該研究表明，儘管勒索軟體的發生率、影響和成本不斷上升，但企業高層缺乏對網路安全的認識，並普遍認為公司永遠不會受到攻擊。

儘管過去一年亞太地區和日本(APJ)的企業在網路安全支出和成熟度方面有所提升，但只有40%的受訪公司認為經營團隊真正了解網路安全。最令網路安全專業人員氣餒的，是經營團隊和高階主管認為自身企業永遠不會受到攻擊。60%的受訪者亦為網路安全廠商沒有提供教育高階主管所需的資訊，88%的公司同意未來24個月最大的安全挑戰將是提升員工和經營團隊的警覺性和教育。

持續進行教育和宣傳，可以解決日本地區與亞洲企業最在意的兩個攻擊管道：網路釣魚或網路捕鯨攻擊，以及員工憑證薄弱或遭駭的問題。

Sophos亞太地區和日本全球解決方案工程師Aaron Bugal表示，勒索軟體攻擊變得越來越複雜，企業需要一個真正且可執行的網路安全教育計畫。目前在網路安全策略方面看到的循環是被攻擊、改變、被攻擊、改變…，這對網路安全團隊是不利的。提升優先事項的重要性必須從企業最高層開始，並且需要高階主管的帶領，包括對整個企業進行安全認知和教育。

該調查還強調，網路安全專業人員面臨著各種挑戰和挫折，其中大部分與安全意識、洞察力、資訊傳遞和教育有關。而三個最感到挫折的地方是：高階主管和經營團隊不了解攻擊的可能性，並且沒有做出適當的反應、缺乏有經驗的安全專家、高階主管過度依賴「恐懼和懷疑」的資訊，難以教育。

Bugal表示，今年，網路安全專業人員還是受到許多挫折，許多人覺得他們的警告和資訊被置若罔聞。除了缺乏熟練的安全專家外，其實只要從高階主管和經營團隊層面開始著手，教育和警覺性計畫可以克服掉許多其他挫折。網路安全專業人員面臨的挑戰，是公司經營者不夠了解安全性，因此比較不會投資必要的計畫來緩解這些問題。

網路安全教育是重中之重。以下是幫助企業加快網路安全教育的五個步驟：一、幫助經營團隊了解不可能保護一切，要學會優先考慮最需保護的關鍵資訊、資料和系統。二、應向所有員工提供關於基本原則、攻擊的真實面貌、攻擊管道、威脅行為者和其他術語的培訓課程。 三、一旦明確定義了這些基礎，企業就需要制定策略並與整合數位轉型計畫。 四、然後，讓企業變得更具回應能力：套用法規、違規回應協議、贖金支付政策、缺口評估，以及未來的角色和義務。五、企業需要清楚地了解營運的監管環境、違規時的法規要求為何，以及資料安全和管理的適當控制措施。