英國近半數企業隱瞞遭網絡攻擊事實

最近發布的一項調查研究表明，英國近半數企業選擇隱瞞網絡安全事件。此外，超過三分之一的英國公司承認，他們并未將遭遇網絡攻擊的事實告知相關機構，盡管法律規定必須這么做。

這份調研報告由安全公司Bitdefender于4月5日發布，該公司調查訪問了英國、美國、意大利、法國、德國和西班牙員工規模在1000人以上的400家企業。 

近半數受訪英國公司承認隱瞞數據泄露事實

英國團隊不像美國同行一樣諱莫如深。在隔海相望的美國，70.7%的受訪企業不向相關機構通報數據泄露事件，隱瞞比例遠高于參與調研的其他國家。

在英國，僅約四分之一（25.71%）的受訪企業表示在遭遇數據泄露時是完全開放的。德國公司最為透明，54.41%的受訪德國公司表示自己從未隱瞞過任何一起數據泄露；其次是法國，50.75%的法國公司表示自己沒有隱瞞過數據泄露事件；然后是西班牙和意大利，沒有隱瞞過數據泄露的比例分別為50%和47.6%。

至于網絡攻擊，74.67%的美國公司表示在過去一年內處理過網絡攻擊事件。而在英國，這一比例降到略高于一半（51.43%）；法國則是遭攻擊最少的國家，過去一年內遭遇攻擊的法國公司比例為41.79%。 

向有關部門隱瞞網絡安全事件的企業數量之多，令Bitdefender技術解決方案主管Martin Zugek大為震驚。他表示：“這個問題如此普遍，遠比我們預計的更為常見，讓我們十分驚詫。”

Zugek認為，歐盟《通用數據保護條例》（GDPR）嚴格管控數據，對濫用數據者施以處罰，這可能是美國和歐洲在事件隱瞞比例上差別甚大的部分原因。“觀察監管職責轉變的影響會很有意思，正如NIS2指令或美國《國家網絡安全戰略》等早期舉措所揭示的那樣。想要扭轉這一危險趨勢，政府必須重新調整激勵措施，支持對網絡安全和網絡韌性的長期投入。”

業內缺乏透明度

對很多英國公司而言，不報告數據泄露是違法的。英國數據監管機構信息專員辦公室（ICO）列出了必須在其網站上登記的攻擊類型。“必須及時向ICO報告應通知的數據泄露，不得晚于發現后72小時。若超出這一時限，必須說明延遲的原因。”

“若在必要時未向ICO通報數據泄露情況，可能會被處以高達870萬英鎊或全球營業額2%的巨額罰款。”

美國的規則就沒有歐洲那么明確，Identity Resources Centre首席執行官Eva Velasquez在近期發布的數據泄露報告中表示。“這種遠離透明度的趨勢表明，目前七拼八湊的州數據泄露通知法案根本不足以涵蓋當前狀況，這些法案中很多都可以追溯到2005年，那個時候基本上所有數據泄露都涉及紙質記錄、丟失或被盜筆記本電腦，或者運輸途中丟失的數據磁帶。而到了2022年，所有數據泄露事件中90%都是由網絡攻擊引起的。”她表示。

Zugek表示，除了對未披露事件的處罰，未能處理數據泄露的企業還可能冒對客戶產生負面影響的風險。“披露安全事件可以幫助客戶和員工保護自己免受潛在傷害。”他解釋道，“比如說，如果數據泄露涉及到信用卡號或社保號等個人信息，受影響的個人就能采取措施監控自己的賬號，保護自己免遭身份盜竊侵害。”

不披露安全事件還有觸發輿情的風險。“如果安全事件通過其他方式公開，比如媒體報道或者社交媒體，那公司對事件的響應就可能會對其品牌聲譽造成重大影響。”Zugek補充道。