93%的受訪者承認，由于供應鏈環(huán)節(jié)薄弱，他們遭受了網(wǎng)絡攻擊。在過去12個月里，遭遇網(wǎng)絡攻擊的平均次數(shù)從2020年的2.7次增長到2021年的3.7次，同比增長37%。

這項研究是由Opinion Matters組織進行的，對于美國、加拿大、德國、荷蘭、英國和新加坡的1200名首席信息官、首席信息安全官和首席采購官進行了采訪和調(diào)查，他們來自商業(yè)服務、金融服務、醫(yī)療保健和制藥、制造業(yè)、公用事業(yè)和能源，以及國防等多個行業(yè)，他們所在公司的員工人數(shù)都在1000人以上。

[[430824]]

很多企業(yè)仍然沒有優(yōu)先考慮其脆弱的供應鏈

• 只有13%的企業(yè)表示第三方網(wǎng)絡風險不是優(yōu)先考慮的問題，這與去年相比有所下降，去年有22%的企業(yè)表示供應鏈和第三方網(wǎng)絡風險不是優(yōu)先考慮的問題。
• 企業(yè)評估和審計供應商的次數(shù)逐年下降：47%的企業(yè)每年對供應商安全進行審計或報告的次數(shù)不超過兩次，而2020年這一比例為32%。
• 38%的受訪者表示，他們無法知道第三方供應商的網(wǎng)絡安全何時或是否出現(xiàn)問題，而去年這一比例為29%。
• 91%的受訪者表示，第三方網(wǎng)絡風險管理的預算在2021年正在增加，而在2020年這一比例為81%。

Blue Voyant公司第三方網(wǎng)絡風險管理全球主管Adam Bixler在評論研究結(jié)果時表示:“盡管我們看到人們對這一問題的認識正在提高，但數(shù)據(jù)泄露及其帶來的負面影響仍然高得驚人，而持續(xù)監(jiān)控的普及率仍然低得令人擔憂。第三方網(wǎng)絡風險只有通過向高管團隊和董事會明確和頻繁地通報，才能成為戰(zhàn)略優(yōu)先事項。

只要網(wǎng)絡風險仍然是每年只討論一兩次(或更少)的項目，那么從戰(zhàn)略角度來看，網(wǎng)絡風險管理將繼續(xù)萎靡不振，直到不可避免發(fā)生數(shù)據(jù)泄露事件、妨礙業(yè)務運營或讓企業(yè)陷入困境。”

雖然預算增加但企業(yè)仍在經(jīng)歷多個痛點

有關預算增加規(guī)模的報告幾乎與去年的數(shù)字完全一致。29%的企業(yè)表示預算的增長幅度為26%～50%;42%的企業(yè)表示預算增長了51%～100%，17%的企業(yè)表示報告增長了100%或更多?？傮w而言，91%的企業(yè)表示計劃增加預算。

然而，目前尚不清楚這些不斷增加的投資在多大程度上是相互協(xié)調(diào)的。接受調(diào)查的企業(yè)報告了比例幾乎相同的痛點：管理誤報、管理數(shù)據(jù)量、確定風險優(yōu)先級、了解自己的風險狀況等。企業(yè)報告如此多問題的事實表明，增加更多預算并沒有使風險顯著降低。

Adam Bixler繼續(xù)說道:“預算的增加表明，企業(yè)意識到有必要投資于網(wǎng)絡安全和供應商風險管理。然而，廣泛而一致的痛點表明，增加這一投資并沒有達到它應有的效果。這與缺乏可見性、監(jiān)控和高層報告有關，凸顯了在應對第三方網(wǎng)絡風險時缺乏必要的戰(zhàn)略和措施，不幸的是，這只會導致更多的違規(guī)行為。”

不同行業(yè)的差異

對不同商業(yè)部門回應的分析表明，他們在第三方網(wǎng)絡風險方面的經(jīng)驗存在相當大的差異：

• 在其網(wǎng)絡安全或風險團隊中，商業(yè)服務部門的員工人數(shù)最多，因此可以每天監(jiān)控第三方風險。
• 醫(yī)療保健行業(yè)表現(xiàn)出最高的第三方網(wǎng)絡風險意識，55%的醫(yī)療機構(gòu)表示識別風險是關鍵優(yōu)先事項，而平均比例為42%。然而，該行業(yè)數(shù)據(jù)泄漏事件發(fā)生率較高，在過去12個月，29%的醫(yī)療機構(gòu)報告了6～10次數(shù)據(jù)泄漏事件。
• 制造業(yè)的受訪者表示，通常不會將供應鏈/第三方網(wǎng)絡安全風險作為關鍵優(yōu)先事項，而且可能每年只報告一次。

Adam Bixler評論說：“我們的研究表明，在垂直行業(yè)、全球供應鏈和供應商中存在大量未知的第三方網(wǎng)絡風險，企業(yè)經(jīng)常遭遇數(shù)據(jù)泄漏攻擊。雖然相關預算不斷增加，但關鍵問題是應該將資金投向何處，以產(chǎn)生切實的影響，并減少第三方網(wǎng)絡風險。缺乏可見度、戰(zhàn)略和監(jiān)控意味著，除非得到適當?shù)年P注，否則這種情況不太可能得到改善。”

Blue Voyant公司首席執(zhí)行官Jim Rosenthal總結(jié)說：“每隔幾周或幾個月就對供應鏈進行一次審計或評估，并不足以領先于敏捷的、持續(xù)的網(wǎng)絡攻擊者。持續(xù)監(jiān)控和針對新發(fā)現(xiàn)的關鍵漏洞的快速行動需要成為有效的第三方風險管理的必要條件。”