- 数据泄露、勒索软件和人为错误造成的损失高达数百万美元,远远超过网络安全方面的预防性投资。
- 网络犯罪造成的损失与安全预算之间的差距越来越大,尤其是在中小企业和战略部门。
- 新的网络安全法要求数千家公司在风险管理、事件响应和培训方面投入巨资。
- 遵守这些要求的成本低于未妥善处理的严重网络安全事件造成的财务、法律和声誉损失。
谈谈 网络安全的实际成本 如今,安全问题不再仅仅关乎杀毒软件许可证或聘请IT专家来应对突发状况。如今,公司在严重安全事件中面临的损失远远超过任何其他因素…… 对保护措施的合理投资来自保险公司、咨询公司和公共机构的数据也清楚地表明了这一点。
随着网络攻击的数量和复杂程度急剧上升, 许多公司仍然缺乏足够的保护。由于预算紧张、措施零散,以及“这种事不会发生在我身上”的侥幸心理,第一次灾难的代价就极其惨重。从大型工业和能源集团到本地中小企业,承担的风险与实际用于缓解风险的资金之间的不匹配问题日益凸显。
网络安全事件的直接成本:令人震惊的数字
对网络保险索赔进行大规模分析后,可以清楚地看出: 数据泄露和信息泄露 这类事件最为常见,而且往往造成最大的经济损失。我们所说的事件范围很广,从仅影响少数个人到影响超过一百万用户的事件都有涉及,包括通知、危机管理、律师、罚款和声誉损害等诸多方面。
一项基于近90个国家、历时十年、涵盖4.650起保险索赔的全球研究表明…… 网络攻击的平均成本 每次事件造成的损失约为2,4万美元。如果问题涉及大规模数据泄露,影响还会进一步扩大: 数据泄露的平均成本 包括技术、法律、运营和声誉成本在内,总成本约为 3,9 万美元。
此外,“重大灾害”的影响是巨大的: 仅占事件总数的4% 虽然有些索赔金额超过10万美元,但这一小部分索赔却占总损失的约91%。极端情况下,一些索赔金额甚至高达331亿美元,这凸显了针对高风险组织的精准攻击可能造成的毁灭性后果。
反复出现的一个因素是 缺乏足够的安全措施分析的损失中,约有四分之一源于保障不足: 未打补丁的系统宽松的访问控制、缺乏供应商监管,或者缺乏能够快速恢复运营的响应和恢复计划。
损失的主要原因:第三方、人为错误和勒索软件
从许多此类事件的根源来看,很明显,数据泄露造成的损失中有很大一部分与以下因素有关: 供应商和第三方此类事件中约有一半源于存储或处理客户及员工数据的合作伙伴遭受的故障或攻击。这就要求对整个供应链进行全面且定期的网络安全审查,而不仅仅是在企业内部。
MGI 人为错误 它们仍然是另一个经典案例。约24%的数据泄露损失与员工或合作伙伴的粗心大意或不良操作有关:例如点击钓鱼邮件中的链接、回复欺诈信息、将敏感文件发送给错误的收件人,或在未采取足够预防措施的情况下共享凭证。良好的 入职和培训计划 显著降低这些风险。
与此同时,对……的袭击 勒索 它们呈上升趋势。这类恶意软件会加密或锁定系统和数据,以此勒索赎金以换取恢复访问权限,而且在很多情况下,还会结合窃取和发布信息来加大施压。这种模式已经变得非常专业化,以至于出现了专门提供此类服务的运营商。 勒索软件作为一种服务向其他犯罪分子提供工具包、基础设施和支持,以换取一定比例的赃物。
在这种情况下,拥有一个 业务连续性和恢复计划 设计精良、经过测试和更新:强大且独立的备份、清晰的受损系统隔离流程、协调的内部和外部沟通,以及最重要的是, 定期演习 避免公司遭受攻击时仓促行事。
网络安全风险与预算之间的差距
尽管攻击者不断改进其工具和方法,但安全防护方面的投入却往往跟不上。在西班牙等市场,近期估计表明: 网络犯罪的成本 到2028年,网络安全领域的支出可能飙升148%,达到约69.000亿欧元。然而,网络安全预算的年增长率仅略低于6%,这使得风险规模与实际防御水平之间的差距日益扩大,令人担忧。
这种情况尤其棘手。 战略部门业务中断不仅会造成经济损失,还会影响一个国家的安全、供应或基本服务。去年,制造业约占记录在案的攻击事件的四分之一,其次是能源和供应部门,以及交通运输部门,后者也遭受了相当比例的攻击事件。
像英国一家大型汽车公司遭受的网络攻击这样的高调案例(被认为是该国损失最惨重的案例之一)清楚地表明,一次网络攻击就可能瘫痪生产、扰乱供应链、损害声誉,并导致数百万美元的赔偿诉讼。
尽管如此,许多组织仍然表现出 成熟度低 在网络安全领域,近期报告显示,只有约2%的公司部署了完整的网络弹性战略,即一种综合性的方法,不仅旨在预防攻击,而且旨在抵御攻击并以可控的方式快速恢复。
好消息是,绝大多数高管已经意识到需要加强这方面的工作。超过四分之三的公司预计…… 增加网络安全预算 短期内,相当一部分企业计划进行两位数的增长,因为他们意识到,继续推迟这些投资只会增加未来的成本。
数字化、互联互通和新的攻击面
数字化转型彻底改变了我们在应急服务、物流、基础设施维护和国防等各个领域的工作方式。联网的移动设备和笔记本电脑使我们能够访问实时信息、优化路线、协调团队并减少停机时间。但另一方面, 这种连接性也扩大了攻击者的活动范围。。 该 数字化转型 需要采取具体措施来避免风险倍增。
在远程或现场环境中,IT 团队的直接监督有限或根本不存在,风险会成倍增加:未经授权访问公司系统, 设备丢失或被盗 包含敏感数据、连接到不安全的无线网络以及使用不受控制的应用程序。所有这些都为看似微小的安全漏洞演变成严重问题创造了完美条件。
这些行业使用的加固型设备(便携式笔记本电脑和平板电脑)旨在极端条件下运行,并提供先进的连接功能,无论是 4G LTE 还是 5G,即使在偏远地区也能正常工作。然而, 连接性增强,但安全策略不足 这是自找麻烦:更多的入侵点,更多的设备需要修补,更多的身份需要管理。
为了降低这些风险,采用多层、以终端为中心的保护方法是合理的:硬件从固件层面增强安全功能,操作系统默认配置安全原则, 强大的身份控制 (例如多因素身份验证)、全磁盘和通信加密,以及 监控工具 能够实时检测可疑活动。
基于此,建议增加其他层级,例如系统地使用…… 安全VPN 对于远程访问,需要制定严格的软件和固件更新管理策略(避免留下已知漏洞的漏洞),以及考虑现场工作具体情况的事件响应计划。
衡量网络风险并确定投资优先级
许多公司面临的最大挑战之一,是如何从基于直觉或普遍恐惧的决策,转变为基于理性的决策。 量化网络风险管理大多数高管都认为,衡量网络风险对于决定资金分配方向、优先考虑哪些项目以及哪些控制措施在降低风险方面最具成本效益至关重要。
然而,只有少数组织声称其资源分配方式真正与最高风险领域相符。其中最常见的障碍包括: 威胁的真实程度尚不确定缺乏可靠的数据,难以将这些信息转化为企业能够理解的指标,以及对现有量化模型的不信任。
尽管如此,针对不同类型事件的财务影响评估正日益普及。例如,这些解决方案有助于估算关键系统长时间中断可能造成的损失,或者根据行业、适用法规和公司应对能力,大规模客户数据泄露可能造成的影响。
除了大型企业之外,甚至还有 中小企业可能会从中受益 即使只是为了将潜在损失的大致数字与当前的防护支出进行比较,采用更简便的方法来量化这种成本也是有用的。这种比较往往能揭示真相,并凸显出与严重事件的代价相比,投资网络安全实际上是多么经济实惠。
在这种情况下,与保险公司和专业经纪人密切合作至关重要。共享有关服务提供商、技术架构和业务流程的信息,有助于更好地调整保单限额、承保范围和除外责任,从而降低理赔时出现意外情况的可能性。
实际支出情况:以西班牙中小企业为例
如果我们从中小企业层面来看,实际情况是: 对网络安全的投入通常非常低。最近一项通过对一千多家西班牙中小企业的采访编制的晴雨表显示,近一半的中小企业每年在数字安全方面的支出不足 500 欧元,考虑到它们面临的风险,这显然是一个不够的数额。
在下一部分,约18%的中小企业表示每年投入500欧元至2.000欧元,而只有一小部分企业投入超过2.000欧元。投资的主要障碍之一是人们普遍认为…… 实施成本太高。这往往更多是由于缺乏相关知识,而不是实际数据造成的。
其他障碍更多地与文化或认知有关:四分之一的中小企业认为没有必要在现有措施之外再做其他事情(尽管这些措施通常仅仅相当于一个基本的杀毒软件)。此外,人们还普遍认为网络安全…… 过于复杂,难以管理 或者是因为没有合格的人员,导致许多公司没有采取这一步骤,尽管有针对几乎任何预算的管理解决方案和服务。
此外,大约一半的这些公司认为 欧洲数字化监管 这与其说是帮助,不如说是阻碍,迫使他们满足一些他们认为以现有资源难以实现的要求。然而,矛盾的是,许多这样的组织也承认,对数字化和云服务的投资已经开始产生经济效益和运营效率提升。
事实上,十分之四的中小企业表示已经从数字化转型中获得了积极的回报,而且相当一部分企业认为网络安全能够对其盈利产生积极影响。问题通常不在于缺乏价值证据,而在于难以将这种价值转化为具体且可持续的预算决策。
人工智能、生产力和新的安全挑战
网络安全实际成本的另一个相关方面是采用 人工智能工具在中小企业环境中,超过三分之一的企业表示已经在使用基于人工智能的解决方案,其中特别强调生成式助手,用于执行文档管理、文本处理、数据分析以及支持市场营销、销售或客户服务等任务。
在那些已经开始使用这些技术的人当中,主要动机是 提高生产力和效率这些举措旨在减少人工操作、加快内容生成速度、利用聊天机器人改善客户服务,并通过自动化分析辅助决策。其中许多公司计划在未来几个月内增加对人工智能的投资。
然而,对于尚未实现转型的中小企业而言,阻碍通常并非经济成本,只有极少数企业将经济成本视为主要问题。更重要的因素是…… 缺乏明确的用例 在日常业务中,或者由于缺乏对现有解决方案的了解,许多组织错失了利用人工智能工具提升竞争力并同时加强安全性的机会。
不应忘记,人工智能本身也已成为攻击者手中的武器。 自动生成的钓鱼邮件语音和视频的深度伪造,以及更复杂的社交工程攻击,提高了区分欺诈行为和合法通信的门槛。这给企业带来了更大的压力,迫使它们加强安全措施。 人工智能安全程序 及其技术控制。
在此背景下,将人工智能应用于改进流程和威胁检测,并制定明确的负责任使用这些工具的政策,可以决定是在不损失安全性的前提下提高效率,还是无意中在组织中引入新的漏洞。
网络风险政策的作用及其局限性
该 网络风险保险保单 它们已成为风险管理生态系统的重要组成部分。一般来说,这类保险涵盖与数据泄露、业务中断、勒索软件攻击以及其他与数字系统和资产相关的事件相关的索赔。
索赔分析表明,在大多数数据泄露事件中,大约 损失的94% 如果事故符合合同约定的条件,则此类事故在保单承保范围内。但是,如果问题根源在于被保险机构内部,则有效承保比例会下降,约为 83%。
造成保险覆盖范围冲突的原因有很多,其中有三个尤其突出: 在截止日期后提交索赔申请未能激活某些需要被保险人采取特定行动的条款,以及公司在未事先获得保险人同意的情况下做出的决定,在某些情况下可能会使部分担保无效。
为避免这种情况,各组织必须充分了解其保单涵盖范围、除外责任以及发生事故时的义务。 流畅且早期的沟通 通过与经纪人和保险公司合作,提供有关关键供应商、敏感资产和已知漏洞的信息,我们可以确保保险方案真正与公司的风险敞口相匹配。
此外,将该政策纳入更广泛的网络韧性战略,可以避免人们误以为保险可以解决一切问题。财务保障有助于减轻损失,但它既不能阻止攻击,也不能取代健全的流程、训练有素的人员和适当的技术。
新的网络安全法及其合规成本
在欧洲,NIS2指令通过一项新的法规进行转化。 网络安全法 这项规定提高了数千家公司的义务标准,尤其是那些在对经济和社会至关重要的行业运营的公司。据估计,西班牙将有近6.000家企业需要适应这项规定,并承担相关的实施成本。
法律区分了 重要实体第一类主要包括高度关键行业(能源、交通运输、银行、医疗保健、水资源管理、数字基础设施、第三方信息通信技术服务、航天或核工业)的公司,这些公司也超过一定的规模和收入门槛,此外还包括可信服务提供商、域名提供商和公共通信网络提供商等。其余符合申请范围但未达到必要性要求的组织被视为重要实体。
适应成本因起点不同而差异显著。对于 重要实体 对于那些几乎需要从零开始构建网络安全基础设施的企业而言,平均投资额估计约为 180.000 万欧元。而那些已经实施了约 27% 必要措施的企业,其调整成本可能会降至约 131.000 万欧元。
在的情况下 重要实体相关数字飙升:那些实施水平极低的企业可能需要超过2万欧元的投资,而那些已经满足近一半要求的企业则需要约1,19万欧元。已在旧框架(NIS1)下监管的企业,适应新要求所需的额外成本要低得多,约为100.000万欧元。
如果将所有这些努力加起来,政府估计: 受影响的生产部门整体而言 为了适应新法律,该公司可能需要投入约2.250亿欧元。这笔数字固然巨大,但必须结合战略部门在缺乏统一最低安全保障的情况下发生一系列严重事故所造成的经济和社会影响来解读。
必要措施:从风险管理到制裁
网络安全法并非仅止于泛泛建议:它强制要求其适用范围内的公司采取以下措施: 一揽子综合措施 其内容涵盖从风险管理到员工培训的方方面面。关键要求包括制定健全的安全策略、定期进行风险分析, 系统性漏洞管理 并制定明确的事件处理程序。
它还强调了频繁且可靠的备份的必要性,以及拥有…… 灾难恢复机制 并制定危机管理方案,以防止安全事件导致运营瘫痪数天甚至数周。供应链安全再次成为关注焦点,迫使各组织监控其供应商和技术合作伙伴的安全状况。
另一个重要的障碍是 事件处理和报告公司必须具备在发现问题时能够快速响应、减轻问题影响并尽快恢复正常运作的服务能力,同时还必须在规定的期限内以明确的内容通知主管当局和受影响的人员。
该法规还要求任命一名信息安全官,作为内部联络点,负责与有关部门沟通协调。这进一步强化了……的理念。 网络安全继续教育 对于管理者和员工来说,如果人们不知道如何识别和管理风险,那么仅仅依靠技术是不够的。
为确保合规,相关部门计划对关键实体建立认证机制,对重要实体进行指导性自我评估,并赋予监管机构广泛的权力,使其能够开展审计、索取信息和实施制裁。在最严重的情况下,罚款最高可达10万欧元。此外,相关部门还在考虑采取暂停认证或暂时限制高级官员职务等措施,直至已发现的缺陷得到纠正。
当把加强安保所需的投资额与严重事件可能造成的经济、法律和声誉影响进行比较时,就会很清楚地看出: 视而不见的代价要高得多。了解网络安全的真正成本意味着要认识到,保护系统、数据和流程不是一项附带的支出,而是商业模式的核心部分;企业越早认识到这一点,在下一次攻击来临时,他们为不作为付出的代价就越小。
