英国近半数企业隐瞒遭网络攻击事实

最近发布的一项调查研究表明，英国近半数企业选择隐瞒网络安全事件。此外，超过三分之一的英国公司承认，他们并未将遭遇网络攻击的事实告知相关机构，尽管法律规定必须这么做。

这份调研报告由安全公司Bitdefender于4月5日发布，该公司调查访问了英国、美国、意大利、法国、德国和西班牙员工规模在1000人以上的400家企业。 

近半数受访英国公司承认隐瞒数据泄露事实

英国团队不像美国同行一样讳莫如深。在隔海相望的美国，70.7%的受访企业不向相关机构通报数据泄露事件，隐瞒比例远高于参与调研的其他国家。

在英国，仅约四分之一（25.71%）的受访企业表示在遭遇数据泄露时是完全开放的。德国公司最为透明，54.41%的受访德国公司表示自己从未隐瞒过任何一起数据泄露；其次是法国，50.75%的法国公司表示自己没有隐瞒过数据泄露事件；然后是西班牙和意大利，没有隐瞒过数据泄露的比例分别为50%和47.6%。

至于网络攻击，74.67%的美国公司表示在过去一年内处理过网络攻击事件。而在英国，这一比例降到略高于一半（51.43%）；法国则是遭攻击最少的国家，过去一年内遭遇攻击的法国公司比例为41.79%。 

向有关部门隐瞒网络安全事件的企业数量之多，令Bitdefender技术解决方案主管Martin Zugek大为震惊。他表示：“这个问题如此普遍，远比我们预计的更为常见，让我们十分惊诧。”

Zugek认为，欧盟《通用数据保护条例》（GDPR）严格管控数据，对滥用数据者施以处罚，这可能是美国和欧洲在事件隐瞒比例上差别甚大的部分原因。“观察监管职责转变的影响会很有意思，正如NIS2指令或美国《国家网络安全战略》等早期举措所揭示的那样。想要扭转这一危险趋势，政府必须重新调整激励措施，支持对网络安全和网络韧性的长期投入。”

业内缺乏透明度

对很多英国公司而言，不报告数据泄露是违法的。英国数据监管机构信息专员办公室（ICO）列出了必须在其网站上登记的攻击类型。“必须及时向ICO报告应通知的数据泄露，不得晚于发现后72小时。若超出这一时限，必须说明延迟的原因。”

“若在必要时未向ICO通报数据泄露情况，可能会被处以高达870万英镑或全球营业额2%的巨额罚款。”

美国的规则就没有欧洲那么明确，Identity Resources Centre首席执行官Eva Velasquez在近期发布的数据泄露报告中表示。“这种远离透明度的趋势表明，目前七拼八凑的州数据泄露通知法案根本不足以涵盖当前状况，这些法案中很多都可以追溯到2005年，那个时候基本上所有数据泄露都涉及纸质记录、丢失或被盗笔记本电脑，或者运输途中丢失的数据磁带。而到了2022年，所有数据泄露事件中90%都是由网络攻击引起的。”她表示。

Zugek表示，除了对未披露事件的处罚，未能处理数据泄露的企业还可能冒对客户产生负面影响的风险。“披露安全事件可以帮助客户和员工保护自己免受潜在伤害。”他解释道，“比如说，如果数据泄露涉及到信用卡号或社保号等个人信息，受影响的个人就能采取措施监控自己的账号，保护自己免遭身份盗窃侵害。”

不披露安全事件还有触发舆情的风险。“如果安全事件通过其他方式公开，比如媒体报道或者社交媒体，那公司对事件的响应就可能会对其品牌声誉造成重大影响。”Zugek补充道。