网络复原力状况报告（亚洲版本）

达信携手微软就亚洲公司的网络风险应对准备情况提出了见解，并对2022年及以后的可行解决方案做了分析。 介绍 在亚洲，尽管数字化转型步伐加快、网络攻击数量增加、网络威胁模式发生改变，但近70%的公司对自己的网络复原力充满信心。然而，近一半（48%）的公司也承认，他们在网络卫生实践（对管理网络风险至关重要）方面，仍然存在改进的空间。这样看来，他们的信心是不是发生了错位呢？ 达信携手微软，于2022年对全球660多名网络风险决策者（包括首席执行官、首席信息安全官和风险经理）进行了在线调查。达信-微软亚洲网络复原力现状报告基于该调查结果，提供了相关见解和专家解决方案，以帮助亚洲各种类型和各个行业的公司优化网络复原力策略与方法。 现实状况：信心vs.网络卫生 我们的调查有一个重要的发现，即69%的亚洲受访者表示他们对所在公司的网络风险管理计划充满信心。 同时，48%的亚洲受访者指出其所在的公司需要进一步改善网络卫生状况。 如果亚洲公司未能采取正确措施来改善和加强网络卫生，将损害其整体网络风险管理策略与方法。 了解网络风险：经验vs.认知差异 64% 我们的调查发现，与全球相比，亚洲公司在网络风险优先排序方面拥有不同的经验和认知。 的受访者表示，他们所在的公司已经受到网络攻击的影响（从全球的角度看，这一比例为59%）。 与全球排名首位的勒索软件攻击相比，亚洲公司将隐私泄露或数据丢失视为他们面临的首要网络威胁。鉴于此，数据丢失是一个重要问题，企业需要将其纳入网络风险管理战略中并加以妥善解决。 调查着重指出，亚洲公司遭遇了更多的隐私泄露和拒绝服务（DoS）攻击。 了解网络风险缺口 我们发现，亚洲公司在采用和实施新技术时，往往会采取更加被动的方法来评估技术所致的网络风险。例如，在最初的探索和测试阶段，只有50%的亚洲受访者表示其所在的公司会评估网络风险，而全球同行的这一比例为63%。 我们还发现，亚洲公司更倾向于在“合同敲定/采购阶段”或“网络攻击或事件发生时”评估网络风险。另外，只有30%的亚洲受访企业选择在“确定新技术采购/合同”时评估网络风险。这种态度会影响企业的可保性，并增加保险成本。 值得注意的是，选择在网络攻击或事件发生以后才评估新技术所致网络风险的亚洲受访企业比例是全球平均水平的两倍。 了解网络风险缺口 06|贵公司在过去12个月采取的网络安全风险管理行动。 与全球平均水平相比，亚洲公司更加重视： 定义/重新定义网络安全治理、角色和职责。 评估和检查供应商和供应链的网络风险。 然而，在定期维护方面，亚洲公司的表现不如全球同行，只有74%的亚洲公司在过去12个月内改善了计算机、设备和系统的安全性，而全球比例为91%。 亚洲公司在提高数据保护能力方面的表现更是差强人意，在过去一年中，超过30%的公司未能提高数据保护能力，这与他们认为隐私泄露和数据丢失是重大网络风险问题的看法相矛盾。 缺乏网络风险控制措施：影响 加强安全的十二项关键控制措施 我们的调查结果表明，亚洲公司并没有像他们想象的那样做好网络风险应对准备，数据显示，他们缺乏网络安全风险控制措施。缺乏网络安全风险控制措施致使漏洞凸显，被网络攻击直接利用，进而引发不必要的损失或直接/间接影响公司的网络事件（例如，影响公司声誉的数据泄露）。 用于远程访问和管理/特权的多因素身份验证 电子邮件过滤和网络安全 备份安全、加密和测试 特权访问管理（PAM） 补丁管理和漏洞管理 端点检测响应（EDR） 此外，由于网络事件造成的损失不断增加，作为承保条件，保险公司要求投保企业必须执行以下网络安全风险控制措施。亚洲公司必须做好准备，向保险公司展示如何妥善控制风险，以便在持续变硬的网络风险保险市场中获得满意的承保范围、限额和保费条件。 网络事件响应计划和测试 强化技术，包括远程桌面协议（RDP）缓释 网络安全意识培训和网络钓鱼测试 供应商/数字化供应链风险管理 更换或保护报废系统 日志和监控/网络保护 缺乏网络风险控制措施：解决方案 为了帮助亚洲公司识别并弥补其在网络风险控制方面的缺口，达信创建了一款免费的在线网络自评（CSA）工具，该工具可对贵公司的网络安全状况进行详细的同比评估。您的网络自评报告将帮助您识别缺口，确定风险控制优先措施，并缓释网络风险，进而从战略上提高贵公司的网络复原力。 不可或缺的环节：网络风险量化 然而，网络风险量化需要专业人员完成，同时还要具备进行损失建模的数据能力。因此，亚洲大多数公司都没有进行网络风险量化。 对于一家企业而言，准确量化网络风险损失关乎其风险转移战略。缺乏网络风险相关的财务量化数据，会导致以下后果： •保费增加，可保性变差，承保条件收紧，限额降低。•无法向公司最高管理层有效传达网络风险状况，导致缺乏网络风险缓释资源和行动。•忽视发生频率高、可能导致重大损失的风险盲点或对其投保不足，一旦发生风险事件，公司将遭受重大未投保损失。•对某一特定网络风险领域过度投保，影响公司的盈利状况。 然而，只有12%的亚洲公司量化网络风险的财务影响，不到全球平均水平（26%）的一半。 与达信携手，全球各种规模的企业，包括中小企业，都可以准确量化网络风险的财务影响。意识到企业面临的困难，达信提供免费的在线评估（如CSA）、同比评估工具以及损失情景分析服务，为企业带来丰富的风险专业知识和深厚的专有数据能力，帮助企业准确评估和量化网络风险可能造成的损失。例如，企业可以通过使用风险价值模型，估算特定时间范围内的潜在网络攻击损失，从而对风险敞口进行财务量化，这十分重要，有助于企业就适当的风险转移和缓释战略达成共识。 未来之路： 利用企业层面的风险管理策略与方法，缓释网络风险 由于网络风险的复杂性以及企业可保性对网络风险量化和解决方案的依赖，企业无论规模大小、无论所处哪个行业，都应与值得信赖的风险顾问和保险经纪人合作，获得全面的网络风险咨询建议和解决方案。 为了在不断演变的网络风险环境中实现持续增长并提高恢复能力，亚洲公司需要制定清晰的路线图和战略，其中应将实施高效的网络风险管理放在优先位置。 达信拥有庞大的地区和全球服务网络、丰富的网络风险和安全专知以及专有的数据平台和分析能力，能够帮助客户评估风险并量身定制解决方案，进一步提高客户的网络风险应对准备程度。 关于微软微软(Nasdaq“MSFT”@microsoft)实现了智能云和智能优势时代的数字化转 型。它的使命是让地球上的每一个人和每一个组织都能取得更多成就。 关于达信达信（Marsh）是全球领先的保险经纪和风险咨询公司，在130多个国家有超过 45000名员工，致力于向全球商业企业和个人客户提供数据驱动型风险解决方案和咨询建议服务。达信是Marsh McLennan（纽交所代码：MMC）的旗下公司，后者是一家全球性专业服务公司，向客户提供风险、战略和人力资源服务，达信于1981年进入中国，目前有450多名员工在中国各地开展业务。作为首家在中国取得保险经纪人执照的外商独资企业，达信中国为本地和跨国公司提供全方位的保险经纪、风险管理和理赔服务。 现在就行动起来，联系达信代表或申请参加达信网络自评。 A business of Marsh McLennan