第十屆RSM 美國中型市場商業指數特別報告：網路安全 2025發現，近五分之一（18%）的中型市場組織在去年遭遇了資料洩露，但幾乎所有（97%）接受調查的高階主管都表示對他們目前的安全措施充滿信心。

這份由RSM US LLP (RSM) 與美國商會聯合發布的特別報告指出，雖然報告的違規行為在 2024 年調查中達到創紀錄的 28% 後大幅下降，但在威脅不斷出現和演變的環境中，企業必須繼續認真做好網路安全工作。

RSM 報告深入分析了影響中型企業市場的網路安全趨勢、策略和問題，並指出了小型（收入在 1000 萬美元至 5000 萬美元以下）中型企業和大型（收入在 5000 萬美元至 10 億美元）中型企業之間的差異。

例如，在過去一年中，大型公司遭遇資料外洩的可能性是小型公司的兩倍，大型公司中 24% 的受訪者報告遭遇資料洩露，而小型公司中只有 12% 的受訪者報告遭遇資料外洩。數據還顯示，規模較小的中型市場公司在網路安全預算和人員配備、身份和存取管理以及實施先進的人工智慧治理協議方面似乎落後於規模較大的公司。

RSM US LLP 安全與隱私國家負責人表示：雖然今年的調查結果令人鼓舞，但報告的違規行為的下降可能是由於 2024 年因制裁和與俄羅斯-烏克蘭衝突相關的金融網絡中斷而激增之後的正常化。

對美國 402 名中型市場高層的調查顯示，企業非常重視網路安全，91% 的受訪者表示，他們預計未來一年其組織的網路安全預算將會增加。 RSM 報告建議企業確保其網路安全投資策略有效，不要忽視諮詢資源，這些資源可以透過更好的工程技術推動自動化，以更低的成本解決問題。

報告顯示，擁有網路保險的公司數量也達到了該報告歷史上的最高水準——從一年前的 76% 上升至 82%。儘管有所增加，但對保單覆蓋範圍的熟悉程度從 2024 年數據的 75% 下降到 69%。這種下降在小型企業中最為明顯，因為這一領域的積極回應從去年的 66% 下降到 51%。

除了網路保險外，公司還在實施限制業務中斷的策略。 52% 的受訪者表示他們正在製定應對危機或中斷的溝通計劃，51% 的受訪者表示他們正在製定和維護業務連續性計劃，一半（50%）正在為關鍵系統實施災難復原計劃。在按公司規模細分時，大型公司的首要連續性策略是利用技術尋找威脅並應對網路事件（47％）。值得注意的是，只有 46% 的大型中型市場公司和 37% 的小型中型市場公司表示與供應商和監管機構等外部合作夥伴合作制定協調的彈性規劃。

美國商會網絡、太空和國家安全政策高級副總裁表示：“隨著網絡形勢的不斷發展，企業了解和採用先進技術來增強其網絡態勢比以往任何時候都更加重要。”克里斯托弗·羅伯蒂

勒索軟體繼續對中端市場構成重大威脅，25% 的受訪高階主管表示在過去 12 個月內經歷過至少一次勒索軟體攻擊或勒索。數據表明，規模較大的中型市場公司面臨的風險更大，該領域 35% 的受訪者報告至少遭受過一次攻擊或請求，而規模較小的中型市場組織這一比例僅為 15%。

在過去一年中經歷過至少一次勒索軟體攻擊的公司中，31％的公司表示現有的安全措施沒有成功，28％的公司表示部分成功，41％的公司表示完全成功。調查數據顯示，小型和大型中型企業在勒索軟體防禦效果方面差異很小。

人員配備是另一個重大挑戰，預計這項挑戰將持續存在，因為合格的網路安全人才難以吸引且留住成本高昂。 33% 的受訪者表示，他們擁有五名或更少的資料安全和隱私員工。雖然大多數小型公司的受訪者表示，只有 0-5 名內部人員專注於資料安全和隱私，但 36% 的大型公司表示擁有 6-10 名員工，另有 36% 的大型公司表示擁有 11-15 名員工。

為了填補這一空白，一些中型市場組織正在外包網路安全職能，其中 51% 的組織表示他們將網路安全風險和合規管理外包。受訪者外包的其他主要職能包括網路事件回應和取證（46%）、安全營運中心（46%）、安全意識培訓（44%）和漏洞管理（44%）。

調查數據還表明，人工智慧治理可能是中型企業，尤其是小型企業的薄弱環節。值得注意的是，34% 的小型中型市場公司指出，人工智慧治理措施尚未到位，這表明他們要么尚未使用人工智慧，要么如果使用人工智慧，他們的數據可能會面臨更高的風險。

今年的特別報告還包括完成 MMBI 調查的 101 名加拿大中端市場高管的細分調查結果。雖然許多發現與美國相似，但也發現了一些顯著的差異。加拿大公司購買網路保險的可能性低於美國公司（68% 對 82%）。與美國受訪者相比，較小比例的加拿大公司表示他們沒有實施人工智慧治理（5％對20％），這可能是因為加拿大在聯邦層級努力監管人工智慧。平均而言，加拿大受訪者擁有更大的網路安全團隊，39% 的受訪者表示他們擁有 16 名或更多員工，而美國這一比例為 11%。