4月2日訊 波耐蒙研究所（Ponemon Institute）近日發布的《物聯網：第三方風險的新時代》調查報告顯示，眾多調查對象認為所在的組織機構未來兩年會遭受災難性物聯網（IoT） 攻擊，大部分企業未正確評估第三方 IoT 風險，且沒有準確的 IoT 設備清單。

報告強調，第三方 IoT 風險管理實踐存在重大脫節的現象，企業在 IoT 分配責任和庫存管理等基本問題上的表現落后。

這份報告解決了誰負責管理和緩解第三方風險的不確定性問題，并揭示了企業過度依賴針對 IoT 風險管理的第三方合同和政策。企業目前關注的重點是內部工作場所的 IoT 風險，而非第三方構成的 IoT 風險。

報告發現

報告預計企業工作場所的 IoT 設備平均數量將從2017年的15,874臺增加至24,762臺。波耐蒙研究所對605名參與企業管理和風險監督活動的對象進行調查后發現：隨著 IoT 的采用率逐漸提高，管理者的 IoT 風險意識也在提高。

97%的調查對象表示，因 IoT 設備不安全引發的安全事件可能會給組織機構帶來災難性后果，60%的調查對象擔心 IoT 生態系統易遭受勒索軟件攻擊。

81％的調查對象表示，不安全的 IoT 設備可能會在未來2年內引發不安全的數據泄露事件。

只有28%的調查對象表示，已將 IoT 風險納入第三方盡職調查之列。

IoT 風險管理策略有待改進

45%的調查對象表示，有辦法清點 IoT 設備，而其中只有19%的調查對象對一半以上的 IoT 設備做了盤點。

88%的調查對象認為，缺乏集中控制是難以完成和持續盤點的主要原因。

15％的調查對象清點了大多數 IoT 應用程序。

85％的調查對象認為，缺乏集中控制是難以完全盤點的主要原因。

46％的調查對象表示，他們制定了政策禁用具有風險的IoT設備。

60％的調查對象表示，所在企業制定了第三方風險管理計劃。

53％的調查對象依賴合同協議來緩解第三方 IoT 風險。

只有26％的調查對象稱，所在企業通過盡職調查流程積極評估了第三方的 IoT 風險。

企業內部和第三方IoT監控之間存在差距

71%的調查對象表示，所在企業認為第三方風險會嚴重威脅高價值資產；

60%的調查對象表示，所在企業制定了第三方風險管理計劃。

26%的調查對象承認，他們不確定所在企業過去是否受到網絡攻擊（涉及IoT設備）影響；

35%的調查對象表示，不知道是否有可能發現第三方的數據泄露事件。

近一半的調查對象表示，所在企業正在積極監控工作場所內的 IoT 設備風險，但只有29%的企業在主動監控第三方IoT設備風險。

只有9%的調查對象表示，完全了解所有聯網的設備。

共享評估計劃（Shared Assessments Program）的高級副總裁查理·米勒表示， IoT 設備和應用普及的步伐并未放緩，組織機構有必要清晰認識內部和外部網絡中的 IoT 設備風險。隨著大規模數據泄露事件、勒索攻擊和 DDoS 攻擊事件頻發，企業高管引咎辭職。分配責任和監督管理 IoT 相關風險對企業而言至關重要，企業有必要確保 IoT 安全受到足夠的重視。

責任不明確

報告顯示，在審查第三方風險管理政策和計劃時，責任尚不明確：

38％的調查對象表示缺乏相關人員來審查第三方風險管理政策和計劃；

41％的調查對象表示具有定期審查計劃。

調查對象表示，企業高層并不完全了解第三方供應商使用的 IoT 設備風險，只有17％的調查對象表示，所在企業的董事會高度參與其中，并了解廠商或第三方的網絡風險。

波耐蒙研究所主席兼創始人拉里·波耐蒙表示，好消息是，某些企業逐漸意識到第三方的網絡風險，實際上也在身體力行貫徹第三方風險管理計劃。

但壞消息是，許多企業仍在努力應對 IoT 構成的安全風險，并不準備應對網絡攻擊造成的災難性后果。為了更有效地解決 IoT 風險，改進第三方風險管理計劃，企業應采取積極的措施識別和替換存在風險的 IoT 設備，通過責任分配來監控 IoT 設備的使用和部署情況，并與有關方合作探索成功的技術，以此管理和緩解第三方 IoT 設備和應用風險。