近40%的英国企业受到网络攻击

“2022年网络安全漏洞调查的调查显示，83%的企业报告称，最常见的威胁载体是网络钓鱼企图。

该年度调查旨在成为英国网络弹性的有用研究，与国家网络战略保持一致。它主要用于为政府的网络安全政策提供信息，使英国的网络空间成为一个安全的商业场所。

该研究探讨了企业、慈善机构和教育机构的网络安全政策、流程和方法。它还考虑了这些组织面临的不同网络攻击，以及这些组织如何受到影响和应对。

尽管39%的英国企业发现了网络攻击，这与近年来的数据一致，但调查还指出，网络安全的加强导致对攻击的识别程度提高，这表明网络成熟度较低的组织可能会少报。

由于网络钓鱼是最常见的威胁载体，大约五分之一(21%)的人还识别出更复杂的攻击类型，如拒绝服务、恶意软件或勒索软件攻击。尽管勒索软件的流行率很低，但一些组织将其列为主要威胁，56%的企业有不支付赎金的政策。

在报告网络攻击的组织中，31%的企业和26%的慈善机构估计，它们每周至少遭到一次攻击。五分之一的企业(20%)和慈善机构(19%)表示，他们经历了网络攻击的直接后果，而三分之一的企业(35%)和近四分之十的慈善机构(38%)经历了至少一次负面影响。

考虑到报告了金钱或数据损失等重大后果的组织，过去12个月所有网络攻击的平均估计损失为4200英镑。如果只关注中型和大型企业，这个数字将上升到1.94万英镑。规模较大的组织通常也表现出增强的网络安全，这很可能是由于增加了可用的资金和专业知识。就大型企业的网络安全而言，80%的企业表示它们至少每季度更新董事会一次，63%的企业进行了风险评估，61%的企业开展了员工培训;相比之下，在所有规模的企业中，这一比例分别为50%、33%和17%。

政府指导——”网络安全10步——旨在将保护一个组织的任务分解为10个关键部分。调查发现，49%的企业和40%的慈善机构在这10个领域中至少有5个采取了行动。特别是，访问管理最受欢迎，而供应链安全最不受欢迎。

调查还显示，过去12个月，超过一半的企业(54%)已采取行动识别网络安全风险，尽管董事会对情况的了解有限，意味着风险往往被转嫁给外包的网络供应商、保险公司或内部网络同事。

小型、中型和大型企业将其IT和网络安全外包给外部供应商的比例分别为58%、55%和60%，一些组织称，获得更多网络安全方面的专业知识、资源和标准是这种做法背后的主要驱动力。

2022年的调查得出的结论是，在组织网络安全方面仍然缺乏意愿和技能，导致“一些更基本的网络卫生领域”存在差距。

不到五分之一的企业有正式的事件管理计划;尽管网络安全被视为一个高度优先的领域，但小型组织内部和大型组织内部的高层缺乏专业技术知识，而对网络安全的投资在很大程度上仍被视为一种成本，而非投资。因此，许多组织对网络安全仍采取被动应对的方式，而不是主动推动改进。

SANS研究所英国和爱尔兰负责人约翰·戴维斯(John Davis)在评论该报告的发现时说:“在过去12个月里，近四成的英国企业发现了网络攻击，基本的数字卫生在提供关键的保护屏障方面仍有很长的路要走。”在识别网络攻击的受访者中，有83%的人指出，网络钓鱼是最常见的威胁载体。然而，在过去12个月发生最具破坏性的黑客入侵或攻击事件后，只有8%的组织建立了多因素认证(MFA)，并强迫员工更改密码，而在这些事件造成重大后果的情况下。

“通过MFA和有关密码维护的教育等工具保持网络安全的领先地位，需要成为新的现状。不断加强基础网络安全培训的重要性，并针对任何类型的网络钓鱼攻击建立基于知识的防御体系，将有助于把坏人挡在门外。在网络卫生方面，近一半(49%)的企业实施了至少5个政府指导步骤。这是一个良好的开端，但为了降低发生网络攻击的可能性，并将有害影响降至最低，所有类型和规模的公司领导者都应该把网络卫生提高一倍作为目标。

“我们看到，董事会越来越认识到日益增长的网络威胁，82%的董事会或高级管理团队将网络安全列为高度优先事项。对网络安全的意识需要渗透到公司的各个层面，培训计划需要在各个团队之间推广。不可能每个人都能成为网络安全专家，但通过正确的教育和互动培训，即使是技术恐惧症患者也能初步掌握新的威胁形势和保护数据的方法。”

政府的数据网络安全报告在2021/22年冬季进行的定量调查和2022年初的定性元素中收集。