网络攻击未曾停歇 医疗机构面对资安问题束手无策
黑客发动一波波网络攻击,拥有庞大病患隐私信息的医疗照护机构防御能力却依旧不足。法新社
勒索软件WannaCry先前肆虐全球的余悸犹存,不肖网络罪犯随后又接连发动一波波的攻击,似乎是永无止境,但真正的问题并非在于网络攻击的多寡和频率,而是在于个人和组织内部是否筑起坚固的防御措施。
国际计算机稽核协会(ISACA)2017年出版的《网络安全角势研究》(State of Cybersecurity Study)第二册报告内容指出,当前网络安全威胁不断地更新和演进,再加上由来已久的资源不足问题,一些健康照护机构防范病毒和黑客入侵的能力大为受限。
接受该研究报告访查的网络安全人员当中,有80%预期自己所属的机构2017年很可能遭到网络攻击,但却无法跟上脚步协助自己的组织克服充满威胁的环境。53%的受访者透露,自家机构2016年受到网络入侵的频率较前一年增加。
根据调查,由于97%的受访机构提高物联网(IoT)的使用,安全防护措施的重点已从行动装置转移至物联网设备。ISACA建议,随著物联网逐渐普及,网络安全专家必须确保安全措施已经备妥,以严密保护新的网络威胁漏洞。
62%的受访者透露2016年曾遭勒索病毒攻击,但仅53%真正有解决之道。ISACA指出,有监于近来WannaCry和Petya等相继发动攻击,如此低的比率透露出组织内部防御能力不足,是个令人忧心的现象。
此外,仅31%的受访者透露会定期测试安全系统,13%的人从未测试过,16%的人表示没有事故回应机制。受访者表示,虽然企业主有心把网络安全列为优先,网络安全人员却迟迟无法跨越障碍。
值得庆幸的是,随著企业逐渐重视信息安全,聘用信息安全长的企业比率达到史上最高水平,这次的调查结果显示,有此职务配置者比率为65%,比2016年的50%大幅提升。
然而,资安主管也抱怨雇用适任的安全人员不容易,48%透露团队人员能力不足,只会解决一些简单的问题。经由训练可解决专业技巧不足的缺陷,但企业对此重视程度不高,有25%的组织提拨给每一位安全团队成员的训练经费低于1,000美元。
整体而言,网络安全预算仍维持高水平,不过有意在2017年提高相关支出的企业仅占约一半,比2016年的61%减少。