本文来自微信公众号“安全419”。
“书面上的数据并不能完全表达网络安全形势,因为统计数据往往来自已确认的报告事件,还有更多的安全事件没有得到披露。”此前,国际刑警察组织秘书长Jürgen Stock在去年的世界经济论坛(WEF)年会上如此表示。
对于为什么不报告网络安全事件,最近安全厂商Keeper Security刚刚发布的《网络安全灾难调查事件报告与披露》就在这方面进行了总结,该份报告数据基于调研机构TrendCandy的全球性调研得出。
该报告给出的数据是有43%组织不向政府监管一侧报告违规事件,主要基于对监管的恐惧造成的,而担心损害企业品牌占比为36%,没有必要报告占到36%,忘记报告占比32%。
显然,以上数据归根到底企业担心的是一旦报告违规事件,势必会受到监管处罚或媒体披露,企业也势必会造成经济损失及成长性影响。报告给出的另一组数据进一步佐证这样一种想法,74%的受访者对未来可能的“网络安全灾难”表示担心。
在是否报告这件事上,甚至在企业内部同样有类似担忧,甚至有41%的受访者表示他们没有向企业内部领导层报告,近一半(48%)的企业选择向监管侧隐瞒安全事件。
报告评价一系列数据表示:“这显示了在网络安全方面创造透明、信任机制的必要性,网络安全是一项共同的责任,对后果的恐惧绝不能阻止员工报告可能造成严重伤害的事件。”。
当前,各国在制定相关网络安全方面的法律政策时,都强调企业需主动报告安全事件,但从实际情况来看,更多的企业还是选择能隐瞒就隐瞒。
为此,我们也看到了比如英国的监管机构在前不久刚刚与安全机构达成协议,如果企业主动披露安全事件,将降低违规处罚金额。显然,这属于一种阶段性的策略妥协,其中后者也确实需要通过实践来帮助企业提长安全性。