《华尔街日报》专业版网络安全论坛关键数据要点 - 华尔街日报

Rob Sloan, Research Director, WSJ Pro Research

作者:罗布·斯隆,WSJ专业研究部研究总监 2022年12月7日 中午12:30(东部时间)|WSJ专业版本文重点介绍2022年11月30日在线举行的WSJ专业网络安全论坛中分享的数据要点。所有会议概述可在此查看。

54%的企业准备在72小时内报告安全事件

网络安全事件报告规则(包括关键基础设施相关规则及美国证券交易委员会的拟议规定)正变得日益复杂。

在WSJ专业网络安全论坛探讨企业应如何准备的专题会议上,现场投票询问与会者发现数据泄露后多久能向监管机构披露事件。在177份回复中,54%的多数表示能在72小时或更短时间内完成准备,30%需要7天时间,16%表示需要30天才能完成披露准备。

Adobe公司首席隐私官兼网络安全法律总监努比亚·沙巴卡强调了短时间内响应的挑战,以及美国各州、行业监管机构、政府机构和SEC之间缺乏统一标准的问题:“不仅时间线不同,在报告内容、方式、对象以及重要性阈值方面都存在差异。” 完整会议内容可在此观看。

标普500指数公司董事中仅1.8%具备网络安全经验

在专题讨论环节,主持人兼《华尔街日报》专业研究部副主任David Breg分享了关于标普500指数公司董事中网络安全专业经验普及程度的数据。

《华尔街日报》专业研究部门通过对4,621名董事会成员履历的分析发现,仅有1.8%的董事曾担任可能显著接触网络安全相关工作的职位。这86名董事分布在91家公司中,占标普500指数成分股的18%。其中仅7人曾担任首席信息安全官职务,目前仍在任的仅2人。

哥伦比亚商学院Kester和Byrnes讲席教授Shiva Rajgopal认同董事会成员网络专业知识极度匮乏的观点。他指出董事会成员平均年龄(根据美国斯宾塞·斯图尔特董事会指数为63岁)、技术爆炸带来的知识更新挑战以及董事会低更替率,是难以应对这一挑战的关键因素。观看完整讨论请点击此处。

54%的CEO与董事会未听取举报风险简报

现行各类网络安全标准和框架并未明确定义组织应采取哪些措施来保障数据和网络安全。这导致企业领导层与安全主管对"合理安全措施"(法规常用术语)的理解存在分歧。部分网络安全负责人选择成为举报人,向董事会或监管机构警示未受管控的风险。

一场关于防范网络举报人风险的专题会议期间的观众调查显示,多数受访企业尚未向首席执行官和董事会通报这一日益增长的威胁:在110名受访者中,54%表示既未向董事会也未向CEO汇报,仅有32%表示已向两者都进行了通报。

企业需采取行动规避监管诉讼,例如推特公司前首席信息安全官佩特·扎特科提起的投诉——该案正接受美国证券交易委员会、联邦贸易委员会和司法部调查。点击此处观看讨论视频。

66%的企业已建立第三方网络安全风险管理计划

《华尔街日报》专业调研第三次年度网络安全调查中,三分之二受访者表示其所在机构设有第三方网络风险管理计划,其中年收入超10亿美元的企业这一比例达88%。随着对第三方网络安全关注度提升,34%的受访者因供应商风险过高而终止了合作关系。

《华尔街日报》专业调研团队的大卫·布雷格和研究分析师莱斯利·阿塞博展示了这项涵盖343位网络安全负责人、涉及多项关键网络风险议题的研究成果。详细报告请访问此处,会议录像详见此处。

2022年2,453起勒索软件泄露网站受害者事件

勒索软件攻击持续造成破坏与损失,但部分网络犯罪分子在加密数据前会先窃取企业资料以增加对受害者的要挟筹码。若赎金未支付,被盗数据将通过暗网网站公开泄露。

论坛特别开设研讨会探讨泄露网站及应对此类攻击的最佳实践。帕洛阿尔托网络公司Unit 42高级副总裁Wendi Whitmore透露,2022年迄今已有2,453名泄露网站勒索软件受害者。根据Unit 42数据,攻击者平均索要220万美元以解密数据并承诺不泄露,而实际平均支付金额仅为54.1万美元。

研讨会嘉宾、Kroll控股咨询公司网络风险业务董事总经理Erik Moser建议,领导团队应参与桌面推演模拟攻击及公司响应。观众调查显示45%受访者表示已制定应对计划并进行演练,8%表示无计划制定方案。观看研讨会视频请点击此处。

《华尔街日报》专业研究是高级会员服务,通过及时深度研究与数据补充新闻资讯,助力高管制定关键商业决策。

作者介绍

罗布·斯隆是《华尔街日报》专业版的研究总监。他于2014年加入道琼斯公司,在风险与合规产品团队工作数年后,转入《华尔街日报》新闻编辑部,负责组建并领导WSJ专业研究团队。

在目前的职位上,罗布管理着一支研究团队,撰写网络安全相关文章,参与数据项目,并定期在WSJ专业版活动中进行演讲。此前,罗布曾在伦敦一家专业IT安全咨询公司担任响应总监,组建了一支专注于检测、调查和防范网络入侵以及应对安全事件的团队。他的职业生涯始于为英国政府工作,研究针对国家关键基础设施的早期国家支持的网络攻击。

罗布的主要兴趣领域包括董事会在监督和管理网络风险中的作用、网络安全通信、国家级攻击者的需求,以及帮助企业黑客受害者分享经验教训。

联系罗布:[email protected]

相关论文