93%的受訪者承認，由于供應鏈環節薄弱，他們遭受了網絡攻擊。在過去12個月里，遭遇網絡攻擊的平均次數從2020年的2.7次增長到2021年的3.7次，同比增長37%。

這項研究是由Opinion Matters組織進行的，對于美國、加拿大、德國、荷蘭、英國和新加坡的1200名首席信息官、首席信息安全官和首席采購官進行了采訪和調查，他們來自商業服務、金融服務、醫療保健和制藥、制造業、公用事業和能源，以及國防等多個行業，他們所在公司的員工人數都在1000人以上。

[[430824]]

很多企業仍然沒有優先考慮其脆弱的供應鏈

• 只有13%的企業表示第三方網絡風險不是優先考慮的問題，這與去年相比有所下降，去年有22%的企業表示供應鏈和第三方網絡風險不是優先考慮的問題。
• 企業評估和審計供應商的次數逐年下降：47%的企業每年對供應商安全進行審計或報告的次數不超過兩次，而2020年這一比例為32%。
• 38%的受訪者表示，他們無法知道第三方供應商的網絡安全何時或是否出現問題，而去年這一比例為29%。
• 91%的受訪者表示，第三方網絡風險管理的預算在2021年正在增加，而在2020年這一比例為81%。

Blue Voyant公司第三方網絡風險管理全球主管Adam Bixler在評論研究結果時表示:“盡管我們看到人們對這一問題的認識正在提高，但數據泄露及其帶來的負面影響仍然高得驚人，而持續監控的普及率仍然低得令人擔憂。第三方網絡風險只有通過向高管團隊和董事會明確和頻繁地通報，才能成為戰略優先事項。

只要網絡風險仍然是每年只討論一兩次(或更少)的項目，那么從戰略角度來看，網絡風險管理將繼續萎靡不振，直到不可避免發生數據泄露事件、妨礙業務運營或讓企業陷入困境。”

雖然預算增加但企業仍在經歷多個痛點

有關預算增加規模的報告幾乎與去年的數字完全一致。29%的企業表示預算的增長幅度為26%～50%;42%的企業表示預算增長了51%～100%，17%的企業表示報告增長了100%或更多。總體而言，91%的企業表示計劃增加預算。

然而，目前尚不清楚這些不斷增加的投資在多大程度上是相互協調的。接受調查的企業報告了比例幾乎相同的痛點：管理誤報、管理數據量、確定風險優先級、了解自己的風險狀況等。企業報告如此多問題的事實表明，增加更多預算并沒有使風險顯著降低。

Adam Bixler繼續說道:“預算的增加表明，企業意識到有必要投資于網絡安全和供應商風險管理。然而，廣泛而一致的痛點表明，增加這一投資并沒有達到它應有的效果。這與缺乏可見性、監控和高層報告有關，凸顯了在應對第三方網絡風險時缺乏必要的戰略和措施，不幸的是，這只會導致更多的違規行為。”

不同行業的差異

對不同商業部門回應的分析表明，他們在第三方網絡風險方面的經驗存在相當大的差異：

• 在其網絡安全或風險團隊中，商業服務部門的員工人數最多，因此可以每天監控第三方風險。
• 醫療保健行業表現出最高的第三方網絡風險意識，55%的醫療機構表示識別風險是關鍵優先事項，而平均比例為42%。然而，該行業數據泄漏事件發生率較高，在過去12個月，29%的醫療機構報告了6～10次數據泄漏事件。
• 制造業的受訪者表示，通常不會將供應鏈/第三方網絡安全風險作為關鍵優先事項，而且可能每年只報告一次。

Adam Bixler評論說：“我們的研究表明，在垂直行業、全球供應鏈和供應商中存在大量未知的第三方網絡風險，企業經常遭遇數據泄漏攻擊。雖然相關預算不斷增加，但關鍵問題是應該將資金投向何處，以產生切實的影響，并減少第三方網絡風險。缺乏可見度、戰略和監控意味著，除非得到適當的關注，否則這種情況不太可能得到改善。”

Blue Voyant公司首席執行官Jim Rosenthal總結說：“每隔幾周或幾個月就對供應鏈進行一次審計或評估，并不足以領先于敏捷的、持續的網絡攻擊者。持續監控和針對新發現的關鍵漏洞的快速行動需要成為有效的第三方風險管理的必要條件。”