Sophos：76%企業提升網絡安全策略 獲取網絡保險的投保資格

Sophos近日發佈《2024年網絡安全保險及防禦措施》調查報告。為取得網絡保險的投保資格，有97%的受訪企業指將持續投資至網絡防禦領域，從而提升其網絡安全策略。當中，有76%稱此舉能讓他們合符網絡保險的投保資格、67%指所屬企業將因而獲得保費下調，以及30%指能藉此取得更有利的承保範疇及保險細則。

網絡攻擊的數據恢復成本遠超保險的保障金額

另外，報告亦揭示網絡攻擊後的數據恢復成本遠超網絡保險的理賠金額，當中只有1%的索償案例最終成功獲保險公司全數賠償。由於企業用於數據恢復的成本總額往往高於保單的保額上限，成為企業未能獲全數賠償的最常見原因。根據《2024 年勒索軟件形勢分析》調查報告，企業勒索軟件的數據恢復成本暴增50%，金額則高達273萬美元。

Sophos全球首席駐場技術總監Chester Wisniewski表示：「《Sophos主動攻擊者報告》再三指出現今企業缺乏基礎網絡安全解決方案的弱點。若然他們未能定時更新及修補系統漏洞，最終有機會導致網絡攻擊。我們的最新報告則指出憑證外洩一直是企業遭受勒索軟件攻擊的主因，而目前仍有43%企業尚未啟用多重身份認證功能(Multi-factor Authentication)。」

Chester Wisniewski續指：「根據這次調查結果，為符合網絡保險的投保資格，76%企業正持續加強網絡安全資源，反映現時的保險方案正驅使企業更積極採取基本網絡安全措施，從而為企業帶來廣泛的正面效益。雖然如此，縱使網絡保險能保障企業資產，但依然難以長遠解決企業正面對的網絡安全風險。加上，網絡攻擊將嚴重影響企業營運和聲譽，而網絡保險並非解決問題的唯一出路。因此，企業應著手加強內部系統的安全，方能全面應對現今的網絡安全威脅。」

綜合5,000名來自資訊科技及網絡安全領域的受訪者意見，99%因保險理由而提升安全措施的企業表示，除了增加保險的保額及保障範疇，所屬企業亦期望能因而受到更全面的網絡安全保障，包括：加強保護效能、騰出額外資訊科技資源及減少不必要的系統警示等。

Chester Wisniewski再次強調：「投放資源自網絡安全領域能為企業帶來正面連鎖效應，而獲減的保費亦能更妥善地用於其他系統安全措拖上，從而廣泛改善企業的網絡安全配套。隨著網絡保險變得普及，我們盼望企業能因而持續提高其安全設備水平。雖然網絡保險不會讓勒索軟件攻擊消失，但亦能成為企業應對網絡威脅的重要一環。」

《2024年網絡安全保險及防禦措施》調查報告由受Sophos委託的中立調查機構於2024年1月至2月期間進行，合共訪問5,000名網絡安全及資訊科技界別的領袖，而受訪對象分別來自14個不同國家，橫跨美洲、歐洲、中東、非洲及亞太區。受訪企業員工人數由100至5,000人不等，其營利則由1,000萬至50億美元以上。