据波耐蒙研究所(Ponemon Institute)的一项调查,在大中型企业中,有59%的负责网络安全决策的高管表示,由于对联网设备和嵌入式系统的产品安全担忧,导致他们的公司失去了部分业务。研究结果突出地表明,通过保护连接设备(包括与物联网(IoT)连接的设备),加强供应链安全的需求日益增长。
45%的受访者表示,他们的客户希望获得设备组件的详细信息,但只有11%的企业对自己在这方面的能力有着足够强的信心。
调查发现,只有27%的受访者表示,他们的组织对所有连接产品的软件进行软件组合分析(SCA),只有30%的人表示,他们的组织可以轻松地为每个产品生成软件材料清单(SBOM)。这意味着对潜在受影响的系统的可见性很低。
Finite State的CEO怀克豪斯表示:“这些数据显示了许多组织因为缺乏意识而导致没有做好应对相关风险的准备,这的确令人非常不安,因为黑客正在寻找利用物联网/连接设备漏洞的新方法。风险很容易被忽视,许多公司在面临入侵或网络攻击之前都是如此。但是这里的数据表明,安全问题会触及组织的底线——不能对业务产生负面影响,因而必须采取更为严格且有效的方法来保护设备的安全。”
调查显示,安全开发的障碍更多来自于缺乏资源(62%)、缺乏内部专业知识(60%)和缺乏行业标准(46%)这三项,这也是他们遇到麻烦的主要原因,只有21%的受访者报告称,他们的组织有安全供应链政策。
该调查的其他主要发现包括:
只有一半的受访者表示,他们的组织在将产品交付给客户之前会对其安全性进行评估。
对于谁应该负责安全问题,人们几乎没有共识,40%的受访者认为应由第三方供应商负责,31%的人认为应由最终的开发商负责,15%的人认为是终端用户,12%的人认为是政府。
74%的公司已经或计划在未来两年内招聘一名首席产品安全官(CPSO)。
关于了解每种设备供应链中的所有供应商方面,只有10%的受访者表示对自己所在的组织完全有信心。