4月2日訊 波耐蒙研究所（Ponemon Institute）近日發(fā)布的《物聯(lián)網(wǎng)：第三方風(fēng)險(xiǎn)的新時(shí)代》調(diào)查報(bào)告顯示，眾多調(diào)查對(duì)象認(rèn)為所在的組織機(jī)構(gòu)未來(lái)兩年會(huì)遭受災(zāi)難性物聯(lián)網(wǎng)（IoT） 攻擊，大部分企業(yè)未正確評(píng)估第三方 IoT 風(fēng)險(xiǎn)，且沒(méi)有準(zhǔn)確的 IoT 設(shè)備清單。

報(bào)告強(qiáng)調(diào)，第三方 IoT 風(fēng)險(xiǎn)管理實(shí)踐存在重大脫節(jié)的現(xiàn)象，企業(yè)在 IoT 分配責(zé)任和庫(kù)存管理等基本問(wèn)題上的表現(xiàn)落后。

這份報(bào)告解決了誰(shuí)負(fù)責(zé)管理和緩解第三方風(fēng)險(xiǎn)的不確定性問(wèn)題，并揭示了企業(yè)過(guò)度依賴針對(duì) IoT 風(fēng)險(xiǎn)管理的第三方合同和政策。企業(yè)目前關(guān)注的重點(diǎn)是內(nèi)部工作場(chǎng)所的 IoT 風(fēng)險(xiǎn)，而非第三方構(gòu)成的 IoT 風(fēng)險(xiǎn)。

報(bào)告發(fā)現(xiàn)

報(bào)告預(yù)計(jì)企業(yè)工作場(chǎng)所的 IoT 設(shè)備平均數(shù)量將從2017年的15,874臺(tái)增加至24,762臺(tái)。波耐蒙研究所對(duì)605名參與企業(yè)管理和風(fēng)險(xiǎn)監(jiān)督活動(dòng)的對(duì)象進(jìn)行調(diào)查后發(fā)現(xiàn)：隨著 IoT 的采用率逐漸提高，管理者的 IoT 風(fēng)險(xiǎn)意識(shí)也在提高。

97%的調(diào)查對(duì)象表示，因 IoT 設(shè)備不安全引發(fā)的安全事件可能會(huì)給組織機(jī)構(gòu)帶來(lái)災(zāi)難性后果，60%的調(diào)查對(duì)象擔(dān)心 IoT 生態(tài)系統(tǒng)易遭受勒索軟件攻擊。

81％的調(diào)查對(duì)象表示，不安全的 IoT 設(shè)備可能會(huì)在未來(lái)2年內(nèi)引發(fā)不安全的數(shù)據(jù)泄露事件。

只有28%的調(diào)查對(duì)象表示，已將 IoT 風(fēng)險(xiǎn)納入第三方盡職調(diào)查之列。

IoT 風(fēng)險(xiǎn)管理策略有待改進(jìn)

45%的調(diào)查對(duì)象表示，有辦法清點(diǎn) IoT 設(shè)備，而其中只有19%的調(diào)查對(duì)象對(duì)一半以上的 IoT 設(shè)備做了盤點(diǎn)。

88%的調(diào)查對(duì)象認(rèn)為，缺乏集中控制是難以完成和持續(xù)盤點(diǎn)的主要原因。

15％的調(diào)查對(duì)象清點(diǎn)了大多數(shù) IoT 應(yīng)用程序。

85％的調(diào)查對(duì)象認(rèn)為，缺乏集中控制是難以完全盤點(diǎn)的主要原因。

46％的調(diào)查對(duì)象表示，他們制定了政策禁用具有風(fēng)險(xiǎn)的IoT設(shè)備。

60％的調(diào)查對(duì)象表示，所在企業(yè)制定了第三方風(fēng)險(xiǎn)管理計(jì)劃。

53％的調(diào)查對(duì)象依賴合同協(xié)議來(lái)緩解第三方 IoT 風(fēng)險(xiǎn)。

只有26％的調(diào)查對(duì)象稱，所在企業(yè)通過(guò)盡職調(diào)查流程積極評(píng)估了第三方的 IoT 風(fēng)險(xiǎn)。

企業(yè)內(nèi)部和第三方IoT監(jiān)控之間存在差距

71%的調(diào)查對(duì)象表示，所在企業(yè)認(rèn)為第三方風(fēng)險(xiǎn)會(huì)嚴(yán)重威脅高價(jià)值資產(chǎn)；

60%的調(diào)查對(duì)象表示，所在企業(yè)制定了第三方風(fēng)險(xiǎn)管理計(jì)劃。

26%的調(diào)查對(duì)象承認(rèn)，他們不確定所在企業(yè)過(guò)去是否受到網(wǎng)絡(luò)攻擊（涉及IoT設(shè)備）影響；

35%的調(diào)查對(duì)象表示，不知道是否有可能發(fā)現(xiàn)第三方的數(shù)據(jù)泄露事件。

近一半的調(diào)查對(duì)象表示，所在企業(yè)正在積極監(jiān)控工作場(chǎng)所內(nèi)的 IoT 設(shè)備風(fēng)險(xiǎn)，但只有29%的企業(yè)在主動(dòng)監(jiān)控第三方IoT設(shè)備風(fēng)險(xiǎn)。

只有9%的調(diào)查對(duì)象表示，完全了解所有聯(lián)網(wǎng)的設(shè)備。

共享評(píng)估計(jì)劃（Shared Assessments Program）的高級(jí)副總裁查理·米勒表示， IoT 設(shè)備和應(yīng)用普及的步伐并未放緩，組織機(jī)構(gòu)有必要清晰認(rèn)識(shí)內(nèi)部和外部網(wǎng)絡(luò)中的 IoT 設(shè)備風(fēng)險(xiǎn)。隨著大規(guī)模數(shù)據(jù)泄露事件、勒索攻擊和 DDoS 攻擊事件頻發(fā)，企業(yè)高管引咎辭職。分配責(zé)任和監(jiān)督管理 IoT 相關(guān)風(fēng)險(xiǎn)對(duì)企業(yè)而言至關(guān)重要，企業(yè)有必要確保 IoT 安全受到足夠的重視。

責(zé)任不明確

報(bào)告顯示，在審查第三方風(fēng)險(xiǎn)管理政策和計(jì)劃時(shí)，責(zé)任尚不明確：

38％的調(diào)查對(duì)象表示缺乏相關(guān)人員來(lái)審查第三方風(fēng)險(xiǎn)管理政策和計(jì)劃；

41％的調(diào)查對(duì)象表示具有定期審查計(jì)劃。

調(diào)查對(duì)象表示，企業(yè)高層并不完全了解第三方供應(yīng)商使用的 IoT 設(shè)備風(fēng)險(xiǎn)，只有17％的調(diào)查對(duì)象表示，所在企業(yè)的董事會(huì)高度參與其中，并了解廠商或第三方的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

波耐蒙研究所主席兼創(chuàng)始人拉里·波耐蒙表示，好消息是，某些企業(yè)逐漸意識(shí)到第三方的網(wǎng)絡(luò)風(fēng)險(xiǎn)，實(shí)際上也在身體力行貫徹第三方風(fēng)險(xiǎn)管理計(jì)劃。

但壞消息是，許多企業(yè)仍在努力應(yīng)對(duì) IoT 構(gòu)成的安全風(fēng)險(xiǎn)，并不準(zhǔn)備應(yīng)對(duì)網(wǎng)絡(luò)攻擊造成的災(zāi)難性后果。為了更有效地解決 IoT 風(fēng)險(xiǎn)，改進(jìn)第三方風(fēng)險(xiǎn)管理計(jì)劃，企業(yè)應(yīng)采取積極的措施識(shí)別和替換存在風(fēng)險(xiǎn)的 IoT 設(shè)備，通過(guò)責(zé)任分配來(lái)監(jiān)控 IoT 設(shè)備的使用和部署情況，并與有關(guān)方合作探索成功的技術(shù)，以此管理和緩解第三方 IoT 設(shè)備和應(yīng)用風(fēng)險(xiǎn)。