We're sorry but your browser is not supported by Marsh.com

For the best experience, please upgrade to a supported browser:

X
中国大陆 CN
Americas
Asia Pacific
Europe
Middle East & Africa
中文 CN
Skyline lights landscape building

2019年全球网络风险透视调查报告

2019年全球网络风险透视调查活动由达信与微软联合举办,旨在针对当前快速演变的商业环境下全球企业的网络风险观和风险管理状况进行调查。

引言

高科技的发展使全球商业环境发生了极大改变,从人工智能、物联网到数据运用、区块链等各个领域,都在不断取得进步。

数字技术正在飞速发展,传统的商业模式不断被打破。然而,网络风险的演变速度似乎更快。

网络风险日益复杂化,已经超出数据泄露和隐私问题的范畴,可能对整个企业、行业、供应链和国家造成破坏,带来数十亿美元的经济损失,并影响到各个行业部门的公司。

2019年全球网络风险透视调查发现,企业在审视和管理网络风险方面出现了许多令人鼓舞的改进迹象。

当前,网络风险已经稳居企业风险议程的首要位置,但我们也看到了积极的转变信号,企业开始在多个领域采取更加严格和全面的网络风险管理措施。

调查报告要点内容

报告要点内容总结如下:

虽然企业将网络风险视为首要风险,但他们对提高网络应变能力的信心却在下降

网络风险在过去两年已成为企业重点关注的风险之一。但与此同时,企业对风险管理的信心却在下降。

  •  79%的受访者将网络风险列为其公司面临的前五大风险之一,而2017年做此选择的受访者比例为62%。
  • 在与网络应变能力有关的三个方面,企业的信心均有所下降。声称“没有信心”的受访者比例增加。

o   在理解和评估网络风险方面,声称“没有信心”的受访者比例从9%增至18%。

o   在预防网络风险方面,声称“没有信心”的受访者比例从12%增至19%。

o   在网络风险应对和损失恢复方面,声称“没有信心”的受访者比例从15%增至22%。

新技术的发展进一步加剧网络风险

技术创新对大多数企业而言至关重要,但往往也会增加企业技术网络的复杂性,包括网络风险。

  • 在2019年的调查中,有77%的受访者表示,他们已经采用或正在考虑采用至少一种创新型运营技术。
  • 50%的受访者称,网络风险几乎从来都不是他们采用新技术的障碍,但有23%的受访者(包括许多来自小型公司的受访者)表示,大多数新技术带来的风险超过其可能带来的商业利益。
  • 74%的受访者在采用新技术之前会进行风险评估,但只有5%的受访者表示,他们的风险评估会贯穿整个技术周期,还有11%的受访者表示他们根本不进行风险评估。

数字化供应链之间的依存度不断增加,带来了新的网络风险

供应链数字化程度的进一步提高以及供应链之间依存度的不断增加,给各方带来了越来越多的网络风险。但许多公司认为这些风险只是单方面的。

  • 很多企业认为,其给供应链合作伙伴带来的网络风险水平与对方给自己带来的网络风险水平并不对等。

o   39%的受访者表示,其供应链合作伙伴或供应商给自己公司带来的风险高或者有些高。

o   然而,只有16%的受访者认为自己公司给供应链合作伙伴或供应商带来的风险高或有些高。

  • 与他们针对供应商所实施的行动相比,受访者更倾向于为自己公司采取更高标准的网络风险管理措施。
% of organizations reporting different levels of confidence. Base: All answering n=878 (2019); Results for this option only show for businesses with US$1 billion+ revenues (n=215). Technology Suppliers 15% highly confident: 62% Fairly confident, 13% Not at all confident, 10% Don't know Suppliers of Outsourced Business processes: 8% highly confident, 55% Fairly confident, 23% Not at all confident, 23% Don't know Other Services or Product Suppliers: 6% highly confident, 55% Fairly confident, 22% Not at all confident, 17% Don't know Freelancers and Consultants: 6% highly confident, 47% Fairly confident, 30% Not at all confident, 18% Don't know Acquisition Targets or Recent Integrations*: 5% highly confident, 46% Fairly confident, 21% Not at all confident, 28% Don't know
 

对于政府在网络风险管理中发挥的作用,受访者看法不一

企业通常认为政府法规和行业标准在帮助管理网络风险方面效果有限,当然民族-国家网络攻击除外。

  •  28%的企业认为政府法规或法律在改善网络安全方面非常有效。
  •  37%的企业认为行业标准在改善网络安全方面非常有效。
  •  然而在民族-国家网络攻击方面,受访者则持有不同观点:    

o   54%的受访者表示他们非常关注民族-国家网络攻击。

o   55%的受访者表示政府需要采取更多措施来保护企业免受民族-国家网络攻击。

网络风险投资更加注重风险预防而不是网络应变能力

许多企业注重技术防御和网络风险预防投资,但却忽视了风险评估、转移、响应计划以及其它构建网络应变能力的风险管理领域。

  • 88%的受访者表示信息技术/信息安全人员是网络风险管理的主要责任人,其次是执行管理层/董事会(65%)以及风险管理人员(49%)。
  • 只有17%的高管受访者表示他们在过去一年中花了超过几天的时间来处理网络风险。
  • 64%的受访者表示其公司面临的网络攻击风险将成为增加网络风险支出的最大动因。
  • 30%的企业称他们使用定量方法来表述网络风险,高于2017年的17%。
  • 83%的受访者表示其公司在过去两年中加强了计算机和系统安全管理,但只有不到30%的受访者称其公司已进行过管理培训或网络风险损失情景模拟。
A cyber incident/attack on our organization 64%, News of cyber incident/attack on another organization 46%, Adoption of new or emerging technologies 43%, New or changing Regulations (such as the EU GDPR) 38%, Change in leadership in our organization 19%, Required by a key customer 12%, Experiencing a merger or acquisition 7%, Legend % selecting as a driver for any area of increased cyber risk investment. Base: All answers $ stating they plan to invest more, excluding don't know responses: n=615 (2019)

网络风险保险

为应对不断变化的网络风险,网络风险保险的承保范围进一步扩大,保险公司的承保态度也在发生变化。

  • 47%的企业表示他们拥有网络风险保险,而2017年这一比例为34%。
  • 较大型公司投保网络风险保险的可能性较高,年收入超过10亿美元的公司中有57%已购买网络风险保险,而收入低于1亿美元的公司中已购买网络风险保险的比例为36%。
  • 不确定现有网络风险保险能否满足公司需求的受访者比例从2017年的44%降至31%。
  •  对于网络风险保单是否能够承保网络风险事件带来的成本,在拥有网络风险保险的受访者中,有89%的人表示充满信心或相当有信心。
Confidence lowest among: C-Suite/Board and IT / Information Security at 7% (Not all Confident) Confidence highest among: Finance, Risk Management, and Legal /Compliance at 32% (Highly Confident) Fairly Confident at 57% Don’t know at 5% Base: All with cyber insurance n=526 (2019)

 

主要建议

从实际操作的层面来看,今年的调查报告分享了网络应变能力最强的公司所采取的最佳做法,所有公司都应考虑采纳。

  • 构建强大的公司网络安全文化,针对治理、问责、资源配置和行动等各个方面制定清晰一致的标准。
  • 量化网络风险,帮助公司做出更加明智的资本配置决策,推动实施绩效评估,在网络风险和其他风险的投资方面,给与同等对待。
  • 在整个技术周期中积极、持续的评估新技术带来的网络风险。
  • 将供应链风险作为一个统一的问题进行管理,识别整个网络对于互信共享安全标准的需求,包括企业对其合作伙伴的网络影响。
  • 围绕关键网络风险问题寻求和支持公私合作伙伴关系,为各方提供更加强有力的保护和最佳实践标准。

结束语

尽管企业对能否管理好网络风险的信心有所下降,但让我们感到乐观的是,越来越多的企业逐渐认识到网络风险的严重危害性并开始寻求和采纳网络风险管理最佳做法。

有效的网络风险管理应综合运用风险评估、衡量、缓释、转移和规划等各种方法,至于哪种组合最佳,需取决于每个公司独特的风险状况和风险承受能力。

但是,这些建议仍然适用于解决当今企业面临的许多常见和最紧迫的网络风险问题,企业应以此为指引,切实提高网络应变能力。