报告:企业未能有效控制来自供应商的网络安全风险

在美国的大多数公司和组织.S. 美国和加拿大在限制第三方供应商的网络安全风险方面做得不够，尽管它们赋予了网络管理人员更大的影响力，并增加了防止攻击的支出, 穆迪投资者服务公司的一份报告显示. 

自2021年以来，“第三方供应商风险管理几乎没有改善”, 穆迪在一项调查中发现,100家企业和政府附属机构. “除了金融服务和基础设施发行人之外，尽管遭受了一系列供应链攻击，但自2021年以来，需要进行新的或定期第三方供应商评估的组织所占比例并没有上升.” 

同时, 网络管理者的影响力更大, 90%的人向高管汇报工作，而2021年这一比例为62%, 穆迪表示. 在过去五年中，公司的网络安全预算也增加了65%, 资助网络安全人才增长25%. 

网络安全风险正在上升, 预计生成式人工智能将在中短期内对攻击者有利, 穆迪表示. 从2017年到2023年，网络攻击平均每年激增26%, 评级公司说, 引用了马里兰大学的数据. 

“这个数字可能被低估了，因为组织通常不需要报告网络攻击,穆迪表示. 

穆迪(Moody 's)表示，保费上涨并未减少对网络安全保险的需求. 

在接受调查的受访者中，有87%的人表示他们购买了专门的网络安全保险, 比2021年增加了21个百分点, 尽管从2020年到2022年，保费平均增长了55%, 穆迪表示. 

近年来，私营企业和公共部门组织改善了他们的“网络卫生”,“采用基本的最佳实践来降低网络攻击的风险，例如针对网络钓鱼的培训, 穆迪表示. 至少每周进行一次多因素身份验证和系统备份几乎是整个北美的“行业标准”. 

然而，在使用更先进、更昂贵的网络安全方法方面，进展甚微, 包括红队/紫队模拟攻击, 穆迪表示. 

通过加强内部网络安全专业知识, 公司和公共部门组织已经减少了访问其网络的第三方的数量, 穆迪表示. 

然而，加强内部保护措施可能无法防止与软件提供商或其他供应商有关的违规行为, 穆迪表示. 而金融服务和基础设施组织已经加强了对供应商网络安全的评估, 自2021年以来，需要对此类风险进行新的或定期评估的组织所占比例没有改善. 

“数字化带来的网络风险持续增长, 技术创新, 相互依赖性增强，攻击的频率和复杂程度不断上升,穆迪表示.