內(nèi)部風(fēng)險(xiǎn)的平均年成本已經(jīng)增加到1620萬美元——在四年內(nèi)增長了40%，與此同時(shí)，遏制內(nèi)部事件的平均天數(shù)已增加到86天。

　　除了分析企業(yè)經(jīng)歷內(nèi)幕安全事件時(shí)產(chǎn)生的成本外，今年的研究還首次深入了解企業(yè)是如何為內(nèi)幕風(fēng)險(xiǎn)計(jì)劃提供資金的。調(diào)查結(jié)果顯示，46%的企業(yè)計(jì)劃在2024年增加對內(nèi)部風(fēng)險(xiǎn)計(jì)劃的投資。研究還發(fā)現(xiàn)，77%的企業(yè)計(jì)劃啟動(dòng)內(nèi)部風(fēng)險(xiǎn)計(jì)劃。

　　我們感到鼓舞的是，企業(yè)計(jì)劃增加對內(nèi)部風(fēng)險(xiǎn)計(jì)劃的投資，因?yàn)檫@是客戶和新的行業(yè)法規(guī)的要求——而不僅僅是因?yàn)橐郧暗氖录＿@是一個(gè)重大的變化，預(yù)示著早就應(yīng)該關(guān)注和優(yōu)先考慮的問題。“DtexSystems的CTORajanKoo說。

　　對內(nèi)部風(fēng)險(xiǎn)管理的投資不足

　　圍繞內(nèi)幕風(fēng)險(xiǎn)管理的勢頭出現(xiàn)之際，遏制與內(nèi)幕相關(guān)的安全事件的成本、頻率和時(shí)間都在飆升。根據(jù)研究分析師Gartner的說法，內(nèi)部風(fēng)險(xiǎn)管理是指“衡量、檢測和遏制企業(yè)內(nèi)受信任賬戶的不良行為的工具和能力”。

　　盡管內(nèi)部風(fēng)險(xiǎn)的成本不斷上升，88%的企業(yè)在內(nèi)部風(fēng)險(xiǎn)管理上的支出不到其IT安全預(yù)算總額的10%。企業(yè)的IT安全預(yù)算為每名員工2437美元，但只有8.2%(相當(dāng)于每名員工200美元)專門分配給內(nèi)部風(fēng)險(xiǎn)計(jì)劃和政策。

　　IT安全預(yù)算的剩余91.8%花在了外部威脅上，盡管超過一半的企業(yè)將社會(huì)工程視為所有外部攻擊的主要原因。

　　Koo說，調(diào)查結(jié)果表明，盡管越來越多的證據(jù)表明根本原因是從內(nèi)部開始的，但預(yù)算正在被浪費(fèi)在被動(dòng)的“癥狀管理”上。他說：“研究結(jié)果表明，表現(xiàn)為內(nèi)部風(fēng)險(xiǎn)的人類是所有數(shù)據(jù)泄露的主要原因--包括社會(huì)工程人員。”“這突顯出對內(nèi)幕風(fēng)險(xiǎn)類型的普遍誤解，以及未能主動(dòng)保護(hù)客戶數(shù)據(jù)和知識產(chǎn)權(quán)。”

　　Ponemon研究所主席LarryPonemon博士評論說：“我們進(jìn)行這項(xiàng)研究的目的是讓人們意識到，當(dāng)員工在處理企業(yè)的敏感數(shù)據(jù)時(shí)疏忽、智取或惡意時(shí)，會(huì)產(chǎn)生巨大的成本。”我們認(rèn)為這項(xiàng)研究是獨(dú)一無二的，因?yàn)樗鶕?jù)內(nèi)部人員的類型、控制事件所需的時(shí)間以及最有效地降低成本的技術(shù)來分析成本。這些信息有助于制定一項(xiàng)戰(zhàn)略，以便在降低成本的同時(shí)更有效地應(yīng)對內(nèi)部風(fēng)險(xiǎn)。“。

　　內(nèi)幕風(fēng)險(xiǎn)計(jì)劃資金將增加

　　四年來，內(nèi)部風(fēng)險(xiǎn)的年平均成本上升了40%，達(dá)到1620萬美元，高于2022年的1540萬美元。2023年遏制內(nèi)部事件的平均天數(shù)已增加到86天。響應(yīng)時(shí)間越長，成本就越高(需要91天以上才能遏制的事件為1833萬美元)。

　　企業(yè)平均每位員工的IT安全預(yù)算為2437美元，但只有8.2%(相當(dāng)于每位員工200美元)專門分配給內(nèi)部風(fēng)險(xiǎn)管理計(jì)劃和政策。

　　只有10%的內(nèi)部風(fēng)險(xiǎn)管理預(yù)算(每個(gè)事件平均63383美元)用于事前活動(dòng)：33596美元用于監(jiān)測和監(jiān)督，29787美元用于事后分析(這包括將未來潛在的內(nèi)部事件降至最低的活動(dòng)，以及為與關(guān)鍵利益攸關(guān)方溝通建議而采取的步驟)。

　　其余90%(每個(gè)事件平均為565363美元)用于事件后活動(dòng)成本中心：179209美元用于遏制，125221美元用于補(bǔ)救，117504美元用于調(diào)查，113635美元用于事件響應(yīng)，29794美元用于升級。

　　盡管大多數(shù)企業(yè)平均將8.2%的IT安全預(yù)算分配給內(nèi)部風(fēng)險(xiǎn)計(jì)劃，但58%的企業(yè)認(rèn)為當(dāng)前支出不足，46%的企業(yè)預(yù)計(jì)明年資金將增加。77%的企業(yè)已經(jīng)開始或計(jì)劃開始內(nèi)部風(fēng)險(xiǎn)計(jì)劃。

　　大多數(shù)內(nèi)部事件都是由非惡意內(nèi)部人士引起的

　　75%的受訪者表示，內(nèi)部風(fēng)險(xiǎn)最有可能的原因是非惡意的：疏忽或錯(cuò)誤的內(nèi)部人員(55%)，或被外部攻擊或?qū)κ掷玫穆斆鞯膬?nèi)部人員(20%)。

　　53%的企業(yè)表示，社交工程(包括網(wǎng)絡(luò)釣魚、托詞和商業(yè)電子郵件泄露)是非內(nèi)部或外部攻擊的主要原因。

　　金融服務(wù)業(yè)的平均活動(dòng)成本為2068萬美元，服務(wù)業(yè)(包括會(huì)計(jì)、咨詢和專業(yè)服務(wù)公司)的平均活動(dòng)成本為1909萬美元。

　　在已經(jīng)或計(jì)劃擁有專門的內(nèi)部風(fēng)險(xiǎn)計(jì)劃的企業(yè)中，52%的企業(yè)報(bào)告說，自上而下地支持和支持該計(jì)劃(例如，內(nèi)部風(fēng)險(xiǎn)指導(dǎo)委員會(huì))是一個(gè)關(guān)鍵特征。51%的受訪者擁有來自法律、人力資源、業(yè)務(wù)線和IT安全的專職跨職能團(tuán)隊(duì)。

　　三分之一的企業(yè)認(rèn)為AI和ML對于預(yù)防、調(diào)查、升級、遏制和補(bǔ)救內(nèi)部事件至關(guān)重要，而31%的企業(yè)認(rèn)為這非常重要。