中东地区的网络安全记录背后的企业掩盖行为

根据网络防御漏洞扫描公司 SecurityScorecard 的数据，去年中东地区前 100 家上市公司中仅有两家报告了网络安全事件。然而，该公司表示，该地区大多数事件都未被报告。

SecurityScorecard 的调查结果显示，中东和北非 (MENA) 地区的表现令人印象深刻，相比之下，欧洲前 100 家公司中有 18 家发生了安全漏洞，而美国标准普尔 500 指数中 21% 的公司遭受了攻击。

特别是海湾国家在网络安全方面投入巨资，以阻止该地区猖獗的攻击，因为这些国家正从以石油为中心的国有经济转型为更依赖脆弱信息通信的多元化经济。但专家表示，这些国家在保证开放报告方面的法律仍落后于欧盟和美国，而开放报告被认为是提高网络弹性所必需的。

SecurityScorecard 副总裁兼研究主管 Ryan Sherstobitoff 表示，他认为中东和北非地区大型企业去年遭受的大多数安全漏洞都未被报告。

"我估计大约 80% 的事件未被报告，" 他说。"中东地区并不像北美或欧洲某些地方那样被要求报告漏洞。因此，这些事件永远不会被记录。"

Sherstobitoff 表示，当中东和北非地区的安全漏洞被公开时，通常是因为黑客攻击了一家外国公司的子公司，而该公司的总部规定要求报告这类事件。此外，该地区的地缘政治局势比其他地方引发了更多攻击。中东和北非地区前 100 家公司中有五分之四位于海湾国家，通常是国有银行、能源公司和公用事业公司。

这促使海湾国家特别在网络安全方面投入巨资，并建立了强大的防御系统，根据 9 月份发布的 ITU 全球网络安全指数，这些国家的网络安全水平位居世界前列。Sherstobitoff 表示，强大的防御是中东和北非国家直接安全漏洞如此之少的主要原因。

SecurityScorecard 在 11 月发布调查结果时并未表示数据不可靠，当时它声称中东和北非地区前 100 家公司在网络安全方面表现优于欧洲竞争对手。该公司私下分发了一份包含这一说法的新闻稿，但并未在其公开媒体页面上发布。

该公司在报告中也不公开企业名称，尽管它自称是为网络风险做信用评级机构所做的事情。它扫描 1500 万家公司的漏洞，并跟踪黑客攻击报告，但只有付费的公司才能看到评级。该公司在该地区销售其服务。

这家自称评级机构的公司注意到，未报告漏洞的公司与那些被评为"A"级的公司之间存在相关性，这是在对它们的安全漏洞进行详细扫描和事件报告评估后得出的结论。根据其方法论，漏洞会显著降低公司的评级，但只是暂时的。

它给予中东和北非地区前 100 家公司中的一半 A 级评级，是欧洲的两倍，比美国标准普尔 500 指数高出五分之一。SecurityScorecard 将 100 家公司中的 84 家评为 A 级或 B 级。中东和北非地区网络安全的实力（普遍归因于大规模投资）在 ITU 全球指数中得到证实，海湾经济体被列为世界上最安全的经济体之一。

更可靠的中东和北非地区事件报告涉及间接攻击，SecurityScorecard 的数据显示，前 100 家公司中有 84 家承认遭受了由供应商失误造成的漏洞。几乎每一家欧盟顶级公司都报告了同样的情况。一位发言人表示，该公司尚未对美国公司的可比第三方漏洞进行统计。

在该地区有丰富高层安全经验的专家 Ross Brewer 表示，中东和北非地区在网络弹性方面的巨额支出在现实中并不像纸面上那么好。"在西方社会，坏消息传播得很快。在中东，如果政府介入，坏消息根本不会传播。当你正在建设一个将吸引全球游客的乌托邦未来时，你希望呈现最好的形象，" 他说。

Brewer 表示，"这些自命不凡的国家"的公司不报告事件是因为文化鼓励体面的保全面子。政府对该地区内外所有通信的严格控制在抓捕攻击者方面很有效。但根据 Brewer 的说法，中东和北非地区对网络防御的投资匆忙、粗糙，由离开后留下支离破碎和脆弱的安全架构的外籍人士零散完成。他声称人们不敢说出来。

为迪拜安全咨询公司 1CxO 担任董事会顾问的 Bharat Raigangari 表示，一个独立的安全评级机构正是该地区解决第三方漏洞所暗示的安全问题所需要的。Raigangari 表示，他正试图在阿联酋网络安全委员会的支持下创建一个，"但说起来容易做起来难"。

他说，中东和北非地区报告的事件确实较少，因为公司不倾向于报告它们。但该地区的安全和法规正在迅速成熟，并正在赶上西方。

该地区的专家赞扬国家当局在建立网络防御和制定法律方面取得的进展。

一位中东和北非地区银行的第三方网络安全主管 Yedhu Krishna Menon（因为在文化上不可接受透露雇主身份而要求匿名）表示，报告的事件很少是因为该地区的防御特别好。

他说，虽然为了保全面子而隐瞒安全漏洞并不仅限于中东和北非地区，但更大的担忧是"声誉损害、负面宣传的恐惧、污名化 - 这是一个全球性的问题"。

"他们不报告大多数事件是因为不想失去业务，" 他补充道。中东和北非地区的文化也有进步。"现在已经不像 10 年前那样了。"

攻击者旨在打击经济并利用该地区转型经济引入的漏洞，这只是促使中东和北非国家实施法规以推动安全投资。Menon 表示，监管推动力已经变得势不可挡，在世界其他地方都没有这样的情况。

迪拜 Taylor Wessing 律师事务所合伙人 Munir Subor 表示，该地区公司不报告事件是常见做法。向政府报告的事件将保密。

与阿联酋网络安全当局密切合作的希腊公司 Obrela 的中东和北非地区董事总经理 Nick Loumakis 相信该地区的低事件数字是正确的。

他表示，每当他处理一个事件时，政府"总是在场"，但他只知道过去两年中有一家大公司受到攻击。他不认为保全面子是一个因素。"要隐瞒这些信息并不容易，" 他说，认为政府对大公司的控制和寡头经济使中东和北非国家能够更有效地消灭攻击者。

Computer Weekly 联系的中东和北非国家当局未予置评。