Veritas最新研究：近半数的企业低估其自身风险水平

    近日，安全多云数据管理领域的领导者Veritas Technologies发布最新调研结果，显示45%的企业可能错误地估计了其业务面临威胁的严重程度。此份名为《数据风险管理:从网络到合规的市场现状》的研究报告针对全球13个市场的1600名高管和IT从业者进行了调研，深入分析了最紧迫的风险及其影响，并提供企业如何计划应对这些风险的洞察。

　　在利率和通货膨胀等风险因素对企业造成了巨大压力的同时，勒索软件和多云复杂性也日益成为各类企业的困扰。然而，当被问及其企业目前是否面临风险时，四成(40%)中国受访者的答案是否定的。但是，在看过风险因素清单后，不同职位的受访者都意识到所在企业面临的挑战，93%的中国受访者随后指出其企业所面临的风险。

　　值得注意的是，12%的中国受访者认为他们的企业无法再存活12个月。企业高层和数据保护一线工作的员工之间可能存在沟通脱节，因为12%的高管质疑他们的企业是否有能力存活一年以上，而在执行层面的员工(如分析师和技术人员)中，没有人持有相同观点。

　　Veritas公司大中华区总裁滕文表示：“虽然已经有不少中国企业意识到疏于数据安全管理会对业务带来风险，但企业也必须认识到他们的防范措施需要不断完善，以适应新技术和勒索软件等带来的不断变化的威胁环境。建议企业在为数据管理分配恰当投资的同时，注重IT团队和其他员工的技能及安全意识培训，并因地制宜采用合适的技术，才能确保实现稳固的防御。”

　　当前的明确危险

　　鉴于宏观形势，调研反馈也清晰的反映了时代的发展。在众多潜在风险中，中国受访者认为数据安全(52%)、人工智能等新兴技术(41%)和竞争(40%)是当今企业面临的最大威胁。经济不确定性和人才短缺等传统威胁排在第四位和第五位。

　　人工智能对企业来说是一把双刃剑。最近几个月有大量报道称，黑客采用人工智能解决方案对企业发起了更复杂、更引人注目的勒索攻击。此外，人工智能还被认为是企业的一个风险因素，因为企业未能设置适当的防护措施，阻止员工通过不当使用生成式人工智能工具来违反数据隐私法规。与此同时，人工智能也被认为是企业防御黑客的最佳解决方案之一，因为企业可以利用其功能自动检测并应对恶意活动。

　　此外，87%的中国受访者承认所经历的风险为其带来了负面影响，包括声誉和经济损失。当被问及哪些风险对其企业造成了实际损害时，数据安全再次排在首位——44%的中国受访者表示企业受到了相关损害。人工智能等新兴技术是对企业造成损害的第二大常见风险，有37%的中国企业受其影响。因经济不确定性造成的损失排在第三位，占34%，竞争因素占33%。

　　受到勒索攻击的企业数量凸显了数据安全漏洞的影响。近八成的中国受访者(79%)表示(全球平均值为65%)，在过去两年中，其所在企业至少遭受过一次成功的勒索软件攻击，黑客成功渗透到其系统中。遭遇过攻击的企业中，有近一半(43%)的中国受访者表示他们没有上报。过去一年中，因未能遵守监管要求而造成的泄密事件，使中国受访企业平均损失超过38.4万美元的合规罚款(全球合规罚款平均值为33.6万美元)，约合281万元人民币。

　　陷入困境

　　对于许多中国受访者来说，数据安全风险水平正在上升。更多(58%)的中国受访者表示，在过去12个月里，数据安全风险增加了，而不是减少了(17%)。然而，他们可能没有充分认识到自身的脆弱性。这种认知差距来自从代表特定领域的企业如何评估其风险，以及如何通过风险评级表对其反馈进行评分的角度之间的差异。

　　研究人员根据每个受访者的回答以及他们对安全最佳实践的遵守程度，排列了以下“风险等级排名”。虽然在全球企业中公共部门被列为风险最大的领域，但在全球所有受访者中，只有48%的受访者认为自己处于风险之中。同样，来自能源、石油/天然气和公用事业行业的受访者中，只有52%的人认为自己面临风险。

　　加强防御势在必行

　　对于旨在降低数据安全风险的企业来说，许多中国企业在过去12个月中将数据保护预算增加了30%。数据保护和安全团队的平均规模也增加了24至25名工作人员。90%的中国受访者表示，目前的人员配备水平足以保证其企业的安全。

　　除了增加人员，企业还在探索其他方法来加强防御。尽管将人工智能和新兴技术列为较大风险，但75%的中国企业正在研究通过人工智能和机器学习来提高安全性。鉴于人工智能的两面性，未来的问题将是，人工智能对于企业的帮助和黑客利用人工智能降低攻击门槛之间的较量。

　　这项研究似乎也暴露了另一个漏洞，近一半(46%)的中国受访者表示，所在企业没有制定数据恢复计划，或者只有部分计划。考虑到超过六成(61%)的中国受访者在过去两年中至少经历过一次数据丢失，这就不得不引起思考。

　　滕文指出：“我们要提醒企业避免以一种虚假的自信来对待数据安全策略。最近一系列备受瞩目的数据泄露事件证明，任何企业都无法独善其身。数据为金，企业应该守护好自己的宝藏。建议企业制定全面的网络韧性计划，以保护和恢复从边缘到核心到云的数据。另外，也需要定期预演，并根据需要重新调整计划。通过加强数据安全能力，企业才能筑起安全高墙，成功应对风险。”