欠完善「第三方風險管理」 涵蓋醫療物流等多個行業 逾六成美企經歷客戶資料外洩

  香港文匯報訊 全球多地企業的客戶私隱外洩問題近年愈趨嚴重,第三方服務商的風險尤其引人關注。負責第三方服務商風險管理的美國企業Prevalent周三(5月8日)發布最新報告,發現過去一年,全美約有61%企業經歷第三方資料外洩或網絡安全事件,該比例按年增幅達49%,從2021年至今更是增加了3倍。報告指出,許多企業沒有制訂完善的「第三方風險管理」(TPRM)計劃,這一問題現時需要重視。

  今次調查於今年2月至3月進行,Prevalent訪問全美數十個行業不同企業的資訊安全、資料私隱、風險管理、採購和資訊科技服務主管,相關企業的供應鏈涵蓋全美約50萬間第三方服務供應商。公司執行主任希克基表示,「最引人矚目的不是安全事件的數量,是其涵蓋的規模,它影響了涵蓋醫療、物流、訊息管理等多個行業,外洩了數百萬人的敏感紀錄。」

  Prevalent運營主管希伯特稱,企業若配有完善的TPRM計劃,可以明顯降低第三方服務商外洩客戶資料的風險,但調查發現,約半數企業仍依賴傳統的電子表格,或是使用各類單一工具評估類似風險,「這種做法缺乏協調」。希伯特也稱,受訪企業約60%沒有專門的TPRM平台,只有三分之一的企業會妥善協調TPRM計劃。

  企業平均與逾3000服務商合作

  受訪企業平均每間與3,200個第三方服務商合作,不過企業平均只對其中三分之一完成風險評估。調查指出,超過62%的受訪企業坦言人手不足,是其加強評估第三方風險、避免客戶資料外洩的最大障礙。企業平均需要將現有負責相關事務員工增加一倍,才能較好監督第三方服務商的運作。

  缺乏外洩資料後補救措施

  希伯特還指出,多數企業還缺乏第三方服務商外洩客戶資料後的整體補救措施,「令我們驚訝的是,主動追蹤資料外洩風險的企業,與積極補救資料外洩風險的企業數目有明顯差距,只有46%的企業表示,會就TPRM計劃發現的風險進行修復,這一比例非常低:這是降低資料外洩風險的必要階段。」

  調查報告也顯示,目前只有5%的企業在TPRM計劃中使用了人工智能(AI)技術,但有61%的企業正研究AI技術在TPRM的應用。Prevalent建議,企業可以組建跨部門TPRM團隊,圍繞單一平台實現TPRM流程自動化、提升工作效率的同時,亦加強資料外洩風險管控。