瞒报数据泄露成全球“潜规则”
企业瞒报数据泄露事件是网络安全行业的老大难问题。根据Bitdefender上周发布的2023年网络安全评估报告,42%的企业安全人士被要求瞒报数据泄露事件,美国企业瞒报比例更是高达七成。
Bitdefender的报告调查了美国、英国、德国、法国、意大利和西班牙的400多名IT和安全专业人员。职位覆盖从初级管理人员到首席信息安全官。
该研究调查了过去一年的威胁形势,以及企业面临的主要安全挑战。其中颇受业界关注的一个调查问题是:“您是否曾经被告知要对数据泄露事件保密,您是否在明知应该报告时对其进行保密?”
企业遭受攻击后缺乏透明度始终是业界难以解决的难题,部分原因是许多企业担心完全披露可能会对其声誉产生负面影响,对于GDPR管辖范围的企业来说,上报安全事件往往意味着巨额罚款(但瞒报被发现也将面临罚款)。此外,网络保险政策越来越多地包含通知要求条款。例如,受害者可能会因在保险公司之前向执法部门报告勒索软件攻击而面临处罚。
超七成美国企业安全人士被“封口”
根据调查,52%的受访者表示他们的企业在过去12个月中发生了数据泄露事件,但比企业发生数据泄露的百分比更令人震惊的是,许多IT主管们表示,当他们明确表示有义务报告安全事件时,仍被告知要保密(瞒报)。
根据报告,42%的受访者表示,他们被告知在应该报告违规行为时要保密,近30%的受访者表示,他们在明知应该报告违规行为时选择了保密。
值得注意的是,在美国这个全球最大的网络安全市场,美国企业瞒报数据泄露的比例远高于平均值,高达70%的美国企业安全人士表示,他们被告知要对违规行为保密,近55%的美国企业受访者最终选择了保密。
相比之下,英国、德国、意大利、西班牙和法国的安全专业人员选择保持沉默的百分比从44%到54%不等。
另一个值得注意的数据是不同部门的“封口率”存在差异。
根据报告,法务部门有66%的员工被告知要对数据泄露事件保持沉默,而CTO接到“封口令”的比例为45%,CIO为39%。
Bitdefender的技术解决方案总监Martin Zugec表示,报告结果中的数据泄露瞒报率比业界预期的要高得多。
至于为什么与欧盟国家相比,美国企业的瞒报行为更为普遍?Zugec表示,一种可能的解释是欧盟《通用数据保护条例》对瞒报的严厉处罚。
扭转瞒报的危险趋势
Zugec指出,鉴于美国近期出台了一系列监管法规,例如白宫上个月宣布的国家网络安全战略,可能会影响监管责任。为了扭转瞒报行为的危险趋势,Zugec建议政府重新调整激励措施,以支持长期安全和网络弹性投资。
报告还强调了瞒报数据泄露事件的法律后果。据接受调查的参与者称,美国和欧盟要求报告安全事件的新法律引起了对面临法律诉讼的企业的日益关注。55%的受访者表示,他们担心自己的公司因数据安全管理不善而面临法律诉讼。对于美国受访者来说,这个数字高达78%。
Zugec强调,及时的报告、提高透明度和有效的事件响应都是在网络攻击发生后最大限度地减少损害和保持利益相关者信任的关键。
最后,即便一家企业选择瞒报安全事件,往往也是纸包不住火。因为网络犯罪分子泄露数据的行为变得越来越普遍。勒索软件组织越来越多地使用公共数据泄露站点来迫使受害者付费。很多时候,攻击者会在受害企业披露攻击之前威胁要泄露被盗数据。
参考链接:
https://businessresources.bitdefender.com/bitdefender-2023-cybersecurity-assessment