网络安全商Bitdefender最新一项针对英国、美国、意大利、法国、德国和西班牙的400家员工超过1000人的公司的调查显示,英国有将近一半的受访企业承认曾对网络安全攻击事件保密,仅次于美国。
报告显示,美国有70.7%的受访者表示,他们会向有关部门隐瞒数据泄露事件,这一比例远高于其他接受调查的国家。
英国企业并不像美国企业那样对数据泄露事件讳莫如深,但仍有将近一半的受访英国企业承认曾对网络安全攻击事件保密。
德国公司最为公开透明,54.41%的受访者表示他们没有隐瞒数据泄露行为,其次是法国(50.75%),然后是西班牙(50%)、意大利(47.6%)。
当谈到遭遇网络攻击时,74.67%的美国公司表示他们在过去一年中处理过网络攻击事件;英国的这一数字为51.43%;法国公司受到的网络攻击最少,为41.79%。
Bitdefender技术解决方案总监Martin Zugek表示,“我们对数据泄露这个问题的普遍程度感到惊讶,这比我们预期的要高得多。”
Zugek认为,欧盟的《通用数据保护条例》(GDPR)对数据进行了严格控制,并对滥用数据的人进行惩罚,这可能是导致美国和欧洲数据安全差异显著的原因之一。
他指出,“正如NIS2指令或美国国家网络安全战略等早期举措所表明的那样,观察监管责任转变的影响将是一件有趣的事情。为了扭转这一趋势,各国政府必须重新调整激励措施,以支持对网络安全和网络恢复能力的长期投资。”
对许多英国企业来说,不向监管部门报告数据违规事件是违法行为。英国数据监管机构信息专员办公室(ICO)列出了必须记录在案的攻击类型,规定企业在遭到网络攻击之后必须立即向ICO报告,并且不得晚于获悉之后72小时。如果所花费的时间超过这个时间,则必须给出延迟的原因。如果某一公司未能按照要求向ICO报告违规行为,可能会面临高达870万英镑(或相当于该公司全球营业额的2%)的巨额罚款。
Zugek还表示,除了对没有披露网络攻击信息的处罚之外,未能处理违规行为的企业还可能对客户造成负面影响。他解释说:“披露安全漏洞有助于客户和员工保护自己免受潜在伤害。例如,如果泄露涉及信用卡号码或社会安全号码等个人信息,受影响的个人可以采取措施监控他们的账户,保护自己免受身份盗窃。而如果安全漏洞通过媒体报道或社交媒体等其他方式被公众所知,那么他们对这种事件的反应可能会对企业的品牌声誉产生重大影响。”