随着IoT的采用率逐渐提高，管理者的IoT风险意识也在提高

4月2日讯 波耐蒙研究所（Ponemon Institute）近日发布的《物联网：第三方风险的新时代》调查报告显示，众多调查对象认为所在的组织机构未来两年会遭受灾难性物联网（IoT） 攻击，大部分企业未正确评估第三方 IoT 风险，且没有准确的 IoT 设备清单。

报告强调，第三方 IoT 风险管理实践存在重大脱节的现象，企业在 IoT 分配责任和库存管理等基本问题上的表现落后。

这份报告解决了谁负责管理和缓解第三方风险的不确定性问题，并揭示了企业过度依赖针对 IoT 风险管理的第三方合同和政策。企业目前关注的重点是内部工作场所的 IoT 风险，而非第三方构成的 IoT 风险。

报告发现

报告预计企业工作场所的 IoT 设备平均数量将从2017年的15,874台增加至24,762台。波耐蒙研究所对605名参与企业管理和风险监督活动的对象进行调查后发现：随着 IoT 的采用率逐渐提高，管理者的 IoT 风险意识也在提高。

97%的调查对象表示，因 IoT 设备不安全引发的安全事件可能会给组织机构带来灾难性后果，60%的调查对象担心 IoT 生态系统易遭受勒索软件攻击。

81％的调查对象表示，不安全的 IoT 设备可能会在未来2年内引发不安全的数据泄露事件。

只有28%的调查对象表示，已将 IoT 风险纳入第三方尽职调查之列。

IoT 风险管理策略有待改进

45%的调查对象表示，有办法清点 IoT 设备，而其中只有19%的调查对象对一半以上的 IoT 设备做了盘点。

88%的调查对象认为，缺乏集中控制是难以完成和持续盘点的主要原因。

15％的调查对象清点了大多数 IoT 应用程序。

85％的调查对象认为，缺乏集中控制是难以完全盘点的主要原因。

46％的调查对象表示，他们制定了政策禁用具有风险的IoT设备。

60％的调查对象表示，所在企业制定了第三方风险管理计划。

53％的调查对象依赖合同协议来缓解第三方 IoT 风险。

只有26％的调查对象称，所在企业通过尽职调查流程积极评估了第三方的 IoT 风险。

企业内部和第三方IoT监控之间存在差距

71%的调查对象表示，所在企业认为第三方风险会严重威胁高价值资产；

60%的调查对象表示，所在企业制定了第三方风险管理计划。

26%的调查对象承认，他们不确定所在企业过去是否受到网络攻击（涉及IoT设备）影响；

35%的调查对象表示，不知道是否有可能发现第三方的数据泄露事件。

近一半的调查对象表示，所在企业正在积极监控工作场所内的 IoT 设备风险，但只有29%的企业在主动监控第三方IoT设备风险。

只有9%的调查对象表示，完全了解所有联网的设备。

共享评估计划（Shared Assessments Program）的高级副总裁查理·米勒表示， IoT 设备和应用普及的步伐并未放缓，组织机构有必要清晰认识内部和外部网络中的 IoT 设备风险。随着大规模数据泄露事件、勒索攻击和 DDoS 攻击事件频发，企业高管引咎辞职。分配责任和监督管理 IoT 相关风险对企业而言至关重要，企业有必要确保 IoT 安全受到足够的重视。

责任不明确

报告显示，在审查第三方风险管理政策和计划时，责任尚不明确：

38％的调查对象表示缺乏相关人员来审查第三方风险管理政策和计划；

41％的调查对象表示具有定期审查计划。

调查对象表示，企业高层并不完全了解第三方供应商使用的 IoT 设备风险，只有17％的调查对象表示，所在企业的董事会高度参与其中，并了解厂商或第三方的网络风险。

波耐蒙研究所主席兼创始人拉里·波耐蒙表示，好消息是，某些企业逐渐意识到第三方的网络风险，实际上也在身体力行贯彻第三方风险管理计划。

但坏消息是，许多企业仍在努力应对 IoT 构成的安全风险，并不准备应对网络攻击造成的灾难性后果。为了更有效地解决 IoT 风险，改进第三方风险管理计划，企业应采取积极的措施识别和替换存在风险的 IoT 设备，通过责任分配来监控 IoT 设备的使用和部署情况，并与有关方合作探索成功的技术，以此管理和缓解第三方 IoT 设备和应用风险。