4月2日訊 波耐蒙研究所（Ponemon Institute）近日發(fā)布的《物聯(lián)網(wǎng)：第三方風險的新時代》調(diào)查報告顯示，眾多調(diào)查對象認為所在的組織機構(gòu)未來兩年會遭受災難性物聯(lián)網(wǎng)（IoT） 攻擊，大部分企業(yè)未正確評估第三方 IoT 風險，且沒有準確的 IoT 設備清單。

報告強調(diào)，第三方 IoT 風險管理實踐存在重大脫節(jié)的現(xiàn)象，企業(yè)在 IoT 分配責任和庫存管理等基本問題上的表現(xiàn)落后。

這份報告解決了誰負責管理和緩解第三方風險的不確定性問題，并揭示了企業(yè)過度依賴針對 IoT 風險管理的第三方合同和政策。企業(yè)目前關注的重點是內(nèi)部工作場所的 IoT 風險，而非第三方構(gòu)成的 IoT 風險。

報告發(fā)現(xiàn)

報告預計企業(yè)工作場所的 IoT 設備平均數(shù)量將從2017年的15,874臺增加至24,762臺。波耐蒙研究所對605名參與企業(yè)管理和風險監(jiān)督活動的對象進行調(diào)查后發(fā)現(xiàn)：隨著 IoT 的采用率逐漸提高，管理者的 IoT 風險意識也在提高。

97%的調(diào)查對象表示，因 IoT 設備不安全引發(fā)的安全事件可能會給組織機構(gòu)帶來災難性后果，60%的調(diào)查對象擔心 IoT 生態(tài)系統(tǒng)易遭受勒索軟件攻擊。

81％的調(diào)查對象表示，不安全的 IoT 設備可能會在未來2年內(nèi)引發(fā)不安全的數(shù)據(jù)泄露事件。

只有28%的調(diào)查對象表示，已將 IoT 風險納入第三方盡職調(diào)查之列。

IoT 風險管理策略有待改進

45%的調(diào)查對象表示，有辦法清點 IoT 設備，而其中只有19%的調(diào)查對象對一半以上的 IoT 設備做了盤點。

88%的調(diào)查對象認為，缺乏集中控制是難以完成和持續(xù)盤點的主要原因。

15％的調(diào)查對象清點了大多數(shù) IoT 應用程序。

85％的調(diào)查對象認為，缺乏集中控制是難以完全盤點的主要原因。

46％的調(diào)查對象表示，他們制定了政策禁用具有風險的IoT設備。

60％的調(diào)查對象表示，所在企業(yè)制定了第三方風險管理計劃。

53％的調(diào)查對象依賴合同協(xié)議來緩解第三方 IoT 風險。

只有26％的調(diào)查對象稱，所在企業(yè)通過盡職調(diào)查流程積極評估了第三方的 IoT 風險。

企業(yè)內(nèi)部和第三方IoT監(jiān)控之間存在差距

71%的調(diào)查對象表示，所在企業(yè)認為第三方風險會嚴重威脅高價值資產(chǎn)；

60%的調(diào)查對象表示，所在企業(yè)制定了第三方風險管理計劃。

26%的調(diào)查對象承認，他們不確定所在企業(yè)過去是否受到網(wǎng)絡攻擊（涉及IoT設備）影響；

35%的調(diào)查對象表示，不知道是否有可能發(fā)現(xiàn)第三方的數(shù)據(jù)泄露事件。

近一半的調(diào)查對象表示，所在企業(yè)正在積極監(jiān)控工作場所內(nèi)的 IoT 設備風險，但只有29%的企業(yè)在主動監(jiān)控第三方IoT設備風險。

只有9%的調(diào)查對象表示，完全了解所有聯(lián)網(wǎng)的設備。

共享評估計劃（Shared Assessments Program）的高級副總裁查理·米勒表示， IoT 設備和應用普及的步伐并未放緩，組織機構(gòu)有必要清晰認識內(nèi)部和外部網(wǎng)絡中的 IoT 設備風險。隨著大規(guī)模數(shù)據(jù)泄露事件、勒索攻擊和 DDoS 攻擊事件頻發(fā)，企業(yè)高管引咎辭職。分配責任和監(jiān)督管理 IoT 相關風險對企業(yè)而言至關重要，企業(yè)有必要確保 IoT 安全受到足夠的重視。

責任不明確

報告顯示，在審查第三方風險管理政策和計劃時，責任尚不明確：

38％的調(diào)查對象表示缺乏相關人員來審查第三方風險管理政策和計劃；

41％的調(diào)查對象表示具有定期審查計劃。

調(diào)查對象表示，企業(yè)高層并不完全了解第三方供應商使用的 IoT 設備風險，只有17％的調(diào)查對象表示，所在企業(yè)的董事會高度參與其中，并了解廠商或第三方的網(wǎng)絡風險。

波耐蒙研究所主席兼創(chuàng)始人拉里·波耐蒙表示，好消息是，某些企業(yè)逐漸意識到第三方的網(wǎng)絡風險，實際上也在身體力行貫徹第三方風險管理計劃。

但壞消息是，許多企業(yè)仍在努力應對 IoT 構(gòu)成的安全風險，并不準備應對網(wǎng)絡攻擊造成的災難性后果。為了更有效地解決 IoT 風險，改進第三方風險管理計劃，企業(yè)應采取積極的措施識別和替換存在風險的 IoT 設備，通過責任分配來監(jiān)控 IoT 設備的使用和部署情況，并與有關方合作探索成功的技術，以此管理和緩解第三方 IoT 設備和應用風險。