过去三年,四成多企业发生信息安全事故
□金证券记者 管伟
昨日,由中央网信办网络安全协调局指导,中国信息安全认证中心、中国金融认证中心、中国电子技术标准化研究院等机构共同发布国内首份《CTO企业信息安全调查报告》。报告显示,各类新型互联网创业公司不断诞生,越来越多传统企业触网,由于安全意识和安全能力的相对薄弱,在信息安全问题上面临较大的风险。与此同时,各类病毒更加隐蔽,扩散速度更快,给信息安全防范提出了更大的挑战。
而令人心惊的是,目前已有超过45%的企业在过去三年曾发生过不同量级的信息安全事故。调查显示,企业频频发生信息安全,除了由于安全保障意识淡漠外,更多的是由于“没钱”。
金融行业漏洞较多
储户的钱从账户里莫名“蒸发”,自己的个人信息被保险公司的人摸得“门清”,自己在网络上开的股票账户也成了“透明状”……昨日由中央网信办等权威机构发布的国内首份《CTO企业信息安全调查报告》显示,超过45%的企业在过去3年曾发生过不同量级的信息安全事故,甚至不乏我们所熟悉的知名企业;大型企业(规模超500人)与电信行业尤其是重灾区,分别有超过57%和64%的企业发生信息安全事故。
据了解,上述安全事故直指商业机密、用户信息等核心信息资产。
《金证券》记者了解到,事实上,今年以来,苹果、网易等众多企业相继“中枪”,原因皆因一些小的安全事故或者漏洞,从而导致了整个服务链条的崩溃,牵连无数用户。
金融行业的网络漏洞激增。据专注于企业安全服务的漏洞盒子安全研究团队统计数据显示,对今年上半年全网1248个漏洞和133个安全事件进行仔细地整理和分析,发现金融行业(保险、银行、证券、互联网金融)漏洞总量较2014年增长181.9%。其中,保险业占金融行业中漏洞数比例较高,达到27.1%。互联网金融紧随其后,占比达26.1%。
23.9%企业没有安全团队
据《CTO企业信息安全调查报告》显示,尽管网络安全漏洞罕见增多,但是目前仍有23.9%的企业没有信息安全团队。
漏洞盒子负责人谢忱在接受《金证券》记者采访时表示,目前企业对于信息安全保障的意识很淡薄,大部分只有在发生了意外后才会想到补漏,仅极少一部分会防微杜渐,防患于未然。
事实上,发生意外后补漏的损失远远超过有安全措施所花费的资金。
《CTO企业信息安全调查报告》显示,企业在发生事故后安全团队组建的比例和资金投入都远高于尚未发生过安全事故的企业,分别比未发生事故的企业高出近13%和15%。亡羊补牢不仅无法挽回事故所带来的损失,团队也承担着巨大压力。
调查结果显示,对于企业发生的安全事故,尽管有接近75%的威胁都被认为来自企业外部,但有80%的公司管理层认为事故责任应由安全团队承担,其中有20%管理层甚至直接归咎于企业CTO(首席技术官)。
过半金融企业没有投入
谢忱在接受《金证券》记者采访时表示,企业频频发生信息安全,除了安全保障意识淡漠外,更多的是由于“没钱”。
事实也正是如此,据《CTO企业信息安全调查报告》显示,30.3%的企业每年基本上没有信息安全预算,小微企业尤其是小微金融企业在这方面更加抠门,超过70%的小微企业(100人以下)没有信息安全投入,超过50%的金融企业没有任何信息安全方面的投入。
