PwC《全球數位信任洞察報告》: 77%企業未來一年將增加預算 強化網路安全
(中央社訊息服務20241030 10:18:50)PwC發布《全球數位信任洞察報告》(Global Digital Trust Insights Survey 2025),針對77個國家與地區、4,042位企業高階主管與資訊部門主管進行量化調查,調查結果顯示,企業越來越重視網路安全,近五分之四(77%)的企業將在未來一年增加預算以強化網路安全。
主要發現
1.受訪者最關注的網路威脅類型,依次為雲端風險(42%)、資料駭取與洩漏(38%)、第三方違規(35%)、透過連網裝置網攻(33%),這四大風險同時也是資訊部門主管認為尚未準備好因應的前四大威脅。
2.超過四分之一受訪者表示,過去三年內單一重大資料外洩事件至少造成100萬美元損失。在過去三年中,所有受訪者平均損失逾300萬美元。
3.整體而言,高階主管最關心通貨膨脹,而資訊部門主管(66%)最關心網路風險。不過,48%高階主管將網路風險列為最關注的前三大風險之一,可見強化網路韌性將成為企業整體策略的重要議題。
運用新興科技 掌握風險善用機會
《2025全球數位信任洞察報告》顯示,資安主管認為生成式AI (67%)、雲端科技(66%)蓬勃發展,增加其企業過去一年資安暴險。可見新興科技興起,雖然為各產業帶來許多新機會,也增加網路攻擊面向與途徑。
網路風險也因其他科技興起而增加,例如越來越多裝置透過網路相互連接,資安部門主管表示,連網裝置(58%)、營運系統(54%)也潛藏網路攻擊風險,製造業、醫療業、能源業是主要感受到風險的產業。
雖然生成式AI擴展了網路攻擊面向,但企業也運用生成式AI強化網路安全,78%企業表示在過去一年增加對生成式AI的投資,72%增加風險管理相關投資,以確保AI使用符合相關治理標準與風險管理要求。
目前企業運用AI所面臨的挑戰包括:難與既有系統/流程整合(39%)、內部利害關係人對生成式AI信任程度不足(39%),相關內控與風險管理措施不足(38%),以及缺乏內部管理規章(37%)。
法規要求增加 強化溝通擬定戰略
96%受訪者表示,資安法規促使他們在過去一年增加網路安全投資,78%認為法規有利於他們改善或提升其網路安全實務做法。
然而在企業遵循法令的信心程度,CEO較整體受訪者的信心程度更高,尤其與CISO/CSO相較更顯差距,特別是在AI (67% vs 54%)、資安韌性(64% vs 51%)、網路基礎設施(68% vs 57%)等法令遵循的信心程度。
資誠智能風險管理諮詢公司董事長張晉瑞表示,彌合信心差距需要管理階層間強化溝通,CEO應確保CISO/CSO獲得符合法遵的資源與支援,CISO/CSO則應提出數據佐證,具體說明將法遵列為策略要務的理由。
量化網路風險 擬定資源配置順序
企業瞭解網路風險是時時刻刻存在的威脅,卻僅有15%企業確實量化風險對財務的影響。大多數受訪者同意,量化網路風險對財務的影響,有助於企業評估網路安全投資(88%),或衡量風險承受能力(88%),亦有助於將資源配置在高風險項目(87%),或呈現網路風險管理對企業的價值(86%)。
然而,量化網路風險並不容易,企業表示主要挑戰源自於風險範圍的不確定性(45%)、數據良窳與來源等問題(44%)、對法規與監理的考量(43%)。
張晉瑞指出,網路風險的量化,與企業整體風險管理與胃納有關,需要資訊部門主管與各部門主管協作,唯有將風險影響量化,才有助於擬定策略性投資的優先順序。
強化網路韌性 構築信任
網路安全形塑企業差異化競爭優勢,57%企業認為網路安全的良窳將大幅影響顧客對企業的信任,49%認為將影響品牌忠誠度與誠信,46%認為將影響企業成長的機會。
77%企業將在未來一年增加預算強化網路安全,尤其是北美地區科技、媒體與電信業更是如此,82%企業表示將增加網路安全預算。
整體而言,企業未來一年強化網路安全的相關投資,以資料保護(48%)、優化既有資訊系統與網路基礎架構(43%)為優先。就資訊部門主管而言,以雲端安全(34%)、資料保護(28%)投資為優先。可見企業無論是哪一個部門,均認為資料保護是未來一年網路安全的重點投資方向,顯示資料保護已是維繫利害關係人信任與品牌誠信的關鍵。
張晉瑞表示,隨著企業普遍將增加投資強化網路安全,企業仍需與整體策略連結,不僅是為了解決當前最迫切的風險,長期而言,更要建立信任與網路風險侵襲下的復原能力。
CISO發揮職能 縮短與韌性的距離
企業構築網路韌性,需要從人員、流程、技術等面向進行,企業表示已進行或將進行的前三大措施,包括梳理並界定企業內部關鍵流程(42%)、導入網路災難復原的技術(39%)、建構對外部利害關係人溝通的機制(35%)。
儘管企業對網路風險擔憂日益增加,只有2%企業表示在內部已全面採用網路韌性措施。建議可先著手的措施為:
1.建立跨部門的韌性團隊,結合企業營運持續計畫(BCP)、資安、風險管理等部門職能
2.研擬可能情境,擬定資安事件應變計畫
3.盤點企業所依賴技術或資訊系統,辨別其相互依賴性,以制定相應的風險管理計畫
張晉瑞建議,企業CISO應向高階管理團隊提供具體可行的網路威脅因應建議,企業亦可讓CISO監督技術和基礎架構的建置、充分參與網路投資的策略規劃,並定期向董事會報告,使董事會即時瞭解網路風險的趨勢與風險因應的發展。