信息來源:安全牛
企業(yè)認(rèn)識到了網(wǎng)絡(luò)風(fēng)險規(guī)模,卻缺乏可構(gòu)筑彈性的對策。
NTT Security 對全球 22 個不同國家的 2,200 家企業(yè)進行了調(diào)查研究,其 2019《風(fēng)險:價值》報告中指出:網(wǎng)絡(luò)攻擊 (43%)、數(shù)據(jù)遺失或被盜 (37%) 和針對電信及能源網(wǎng)絡(luò)的關(guān)鍵基礎(chǔ)設(shè)施攻擊 (35%),是受訪者最為擔(dān)憂的。他們認(rèn)為這些威脅將在未來一年內(nèi)給自家企業(yè)帶來更大風(fēng)險,危害程度超出貿(mào)易壁壘和其他重大全球性事件,比如環(huán)境問題、恐怖主義和政府措施失效。
幸運的是,企業(yè)逐漸意識到了強化網(wǎng)絡(luò)安全的需求。84% 和 85% 的公司企業(yè)分別表示,強化信息安全和保護數(shù)據(jù)完整性,與業(yè)務(wù)連續(xù)性同等重要,甚至超出盈利增長的重要性。90% 的受訪者認(rèn)為強網(wǎng)絡(luò)安全有益于自己的公司。
網(wǎng)絡(luò)安全策略與事件響應(yīng)計劃缺失
然而,很多公司企業(yè)甚至連基本的安全水平都維持不好。僅 58% 的受訪者設(shè)置有正式的安全策略,且其中僅 48% 稱其員工知道該安全策略的內(nèi)容,意味著僅 28% 的公司擁有員工廣為理解的安全策略。事件響應(yīng)計劃描述發(fā)生安全事件時利益相關(guān)者應(yīng)采取的行動,這也是受訪公司企業(yè)的一大短板。僅 52% 的受訪者設(shè)置有事件響應(yīng)計劃。其中又僅 57% 的受訪公司其員工切實知曉響應(yīng)計劃的內(nèi)容——雖然比 2018 年高了 3%。潛在后果很明顯:如果他們遭遇成功的網(wǎng)絡(luò)攻擊,這些企業(yè)對自身計劃的不熟悉將會導(dǎo)致事件處理舉步維艱,即便跌跌撞撞蒙混過關(guān),也會耗費更長的時間恢復(fù)。
風(fēng)險一直增加,安全預(yù)算卻原地踏步
除了規(guī)劃上的短板,公司企業(yè)還沒跟上不斷增長的 IT 依賴與風(fēng)險。平均來看,15% 的 IT 預(yù)算導(dǎo)向安全,但自去年開始,歸于安全的運營預(yù)算卻降到了 16%。這就很麻煩了,尤其是在物聯(lián)網(wǎng) (IoT) 和聯(lián)網(wǎng)運營技術(shù)(如工業(yè) 4.0)激增導(dǎo)致攻擊界面指數(shù)級增長的情況下。
德國 (14%) 和瑞士 (12%) 的公司分給安全的 IT 預(yù)算占比最少。建筑和制造行業(yè)花在安全上的開支最少,IT 預(yù)算中僅 13% 分配給了安全。考慮到投入應(yīng)對風(fēng)險的資源如此微不足道,制造行業(yè)廣為使用的運營基礎(chǔ)設(shè)施中引入的潛在破壞性威脅就相當(dāng)令人頭痛了。
1/3 的公司寧可支付贖金
NTT 研究中值得注意的一項發(fā)現(xiàn)是愿意支付贖金的公司數(shù)量令人驚訝。1/3 的受訪者寧愿向罪犯交出贖金,也不愿投資網(wǎng)絡(luò)安全。他們聲稱:“這樣更便宜。” 這種想法既危險又天真,因為這只會鼓勵壞人再次前來,胃口還可能比第一次大。
同樣比例的受訪者稱寧愿支付贖金也不愿因違規(guī)而受罰,暴露出對違規(guī)后果的恐懼,和對處理重要監(jiān)管問題及實現(xiàn)健壯事件響應(yīng)計劃能力的自信匱乏。這一狀況令人擔(dān)憂,因為網(wǎng)絡(luò)罪犯是日漸精進的。事實上,網(wǎng)絡(luò)犯罪正在經(jīng)歷工業(yè)化浪潮,大規(guī)模犯罪集團結(jié)成繁榮地下經(jīng)濟,估計年產(chǎn)值甚至超 1.5 萬億美元之多。而且一些民族國家正在擴張其網(wǎng)絡(luò)戰(zhàn)能力,比如收集情報、破壞關(guān)鍵基礎(chǔ)設(shè)施,或者幫助其本地經(jīng)濟。
網(wǎng)絡(luò)攻擊和客戶記錄泄露的開銷已上億。例如最近萬豪酒店就泄露了 3.83 億客戶記錄和超 500 萬護照號,F(xiàn)acebook 也曝光了 5.4 億客戶數(shù)據(jù)。
高管認(rèn)為網(wǎng)絡(luò)安全是 IT 任務(wù)
安全措施協(xié)調(diào)性差可能源于欠佳或耳目閉塞的高層領(lǐng)導(dǎo)。NTT 調(diào)查研究揭示,84% 的受訪者稱他們認(rèn)為網(wǎng)絡(luò)安全應(yīng)該是董事會議題,但僅 72% 的受訪者稱確實是董事會議題。1/4 (23%) 的受訪者稱公司內(nèi)有人負責(zé)管理日常安全(比如 CISO),但僅 13% 的受訪者稱此人對網(wǎng)絡(luò)安全負有最終責(zé)任。
全部受訪者中近半數(shù) (45%),首席級高管受訪者中超過一半的人 (57%),認(rèn)為網(wǎng)絡(luò)安全是 IT 部門的問題。這凸顯出了網(wǎng)絡(luò)安全和高管間常常存在的認(rèn)知缺口。很明顯,過去兩年間情況幾乎一成不變,即使一次成功攻擊即可造成重大經(jīng)濟和法律后果。聰明的企業(yè)領(lǐng)導(dǎo)需培育不一樣的企業(yè)思維,甄別出自家企業(yè)數(shù)字策略中的風(fēng)險。
結(jié)語
網(wǎng)絡(luò)安全是企業(yè)領(lǐng)導(dǎo)的首要考慮。確實如此,因為對 IT 正常運轉(zhuǎn)時間和彈性的依賴從未如此巨大。但是企業(yè)董事會應(yīng)超越意識和言辭,落實到行動上,切實減少企業(yè)風(fēng)險暴露面,確保長期成功。
更嚴(yán)格的監(jiān)管框架和更高的違規(guī)罰款,正激發(fā)整個企業(yè)的網(wǎng)絡(luò)風(fēng)險意識和對合規(guī)的需求。但還需刺激企業(yè)治理的進化發(fā)展。模擬時代行之有效的解決方案(比如簡單地將安全置于 IT 之下)已不在足夠,特別是當(dāng)來自數(shù)字運營和品牌聲譽的收入和利潤利害攸關(guān)的時候。數(shù)字時代,幾乎每個董事會決策都將影響企業(yè)網(wǎng)絡(luò)風(fēng)險態(tài)勢。這正是為什么網(wǎng)絡(luò)安全應(yīng)是董事會議程表上常規(guī)事項的原因,也是網(wǎng)絡(luò)安全應(yīng)在更廣泛風(fēng)險框架下不斷重新評估的原因所在。而最為關(guān)鍵的,是事件響應(yīng)與溝通計劃,以及經(jīng)常性演練。這些措施是企業(yè)有機會在遭遇成功網(wǎng)絡(luò)攻擊后快速恢復(fù)的唯一方法。