企業(yè)認(rèn)識(shí)到了網(wǎng)絡(luò)風(fēng)險(xiǎn)規(guī)模,卻缺乏可構(gòu)筑彈性的對(duì)策。
NTT Security對(duì)全球22個(gè)不同國家的2,200家企業(yè)進(jìn)行了調(diào)查研究,其2019《風(fēng)險(xiǎn):價(jià)值》報(bào)告中指出:網(wǎng)絡(luò)攻擊(43%)、數(shù)據(jù)遺失或被盜(37%)和針對(duì)電信及能源網(wǎng)絡(luò)的關(guān)鍵基礎(chǔ)設(shè)施攻擊(35%),是受訪者最為擔(dān)憂的。他們認(rèn)為這些威脅將在未來一年內(nèi)給自家企業(yè)帶來更大風(fēng)險(xiǎn),危害程度超出貿(mào)易壁壘和其他重大全球性事件,比如環(huán)境問題、恐怖主義和政府措施失效。
幸運(yùn)的是,企業(yè)逐漸意識(shí)到了強(qiáng)化網(wǎng)絡(luò)安全的需求。84%和85%的公司企業(yè)分別表示,強(qiáng)化信息安全和保護(hù)數(shù)據(jù)完整性,與業(yè)務(wù)連續(xù)性同等重要,甚至超出盈利增長的重要性。90%的受訪者認(rèn)為強(qiáng)網(wǎng)絡(luò)安全有益于自己的公司。
網(wǎng)絡(luò)安全策略與事件響應(yīng)計(jì)劃缺失
然而,很多公司企業(yè)甚至連基本的安全水平都維持不好。僅58%的受訪者設(shè)置有正式的安全策略,且其中僅48%稱其員工知道該安全策略的內(nèi)容,意味著僅28%的公司擁有員工廣為理解的安全策略。事件響應(yīng)計(jì)劃描述發(fā)生安全事件時(shí)利益相關(guān)者應(yīng)采取的行動(dòng),這也是受訪公司企業(yè)的一大短板。僅52%的受訪者設(shè)置有事件響應(yīng)計(jì)劃。其中又僅57%的受訪公司其員工切實(shí)知曉響應(yīng)計(jì)劃的內(nèi)容——雖然比2018年高了3%。潛在后果很明顯:如果他們遭遇成功的網(wǎng)絡(luò)攻擊,這些企業(yè)對(duì)自身計(jì)劃的不熟悉將會(huì)導(dǎo)致事件處理舉步維艱,即便跌跌撞撞蒙混過關(guān),也會(huì)耗費(fèi)更長的時(shí)間恢復(fù)。
風(fēng)險(xiǎn)一直增加,安全預(yù)算卻原地踏步
除了規(guī)劃上的短板,公司企業(yè)還沒跟上不斷增長的IT依賴與風(fēng)險(xiǎn)。平均來看,15%的IT預(yù)算導(dǎo)向安全,但自去年開始,歸于安全的運(yùn)營預(yù)算卻降到了16%。這就很麻煩了,尤其是在物聯(lián)網(wǎng)(IoT)和聯(lián)網(wǎng)運(yùn)營技術(shù)(如工業(yè)4.0)激增導(dǎo)致攻擊界面指數(shù)級(jí)增長的情況下。
德國(14%)和瑞士(12%)的公司分給安全的IT預(yù)算占比最少。建筑和制造行業(yè)花在安全上的開支最少,IT預(yù)算中僅13%分配給了安全。考慮到投入應(yīng)對(duì)風(fēng)險(xiǎn)的資源如此微不足道,制造行業(yè)廣為使用的運(yùn)營基礎(chǔ)設(shè)施中引入的潛在破壞性威脅就相當(dāng)令人頭痛了。
1/3的公司寧可支付贖金
NTT研究中值得注意的一項(xiàng)發(fā)現(xiàn)是愿意支付贖金的公司數(shù)量令人驚訝。1/3的受訪者寧愿向罪犯交出贖金,也不愿投資網(wǎng)絡(luò)安全。他們聲稱:“這樣更便宜。”這種想法既危險(xiǎn)又天真,因?yàn)檫@只會(huì)鼓勵(lì)壞人再次前來,胃口還可能比第一次大。
同樣比例的受訪者稱寧愿支付贖金也不愿因違規(guī)而受罰,暴露出對(duì)違規(guī)后果的恐懼,和對(duì)處理重要監(jiān)管問題及實(shí)現(xiàn)健壯事件響應(yīng)計(jì)劃能力的自信匱乏。這一狀況令人擔(dān)憂,因?yàn)榫W(wǎng)絡(luò)罪犯是日漸精進(jìn)的。事實(shí)上,網(wǎng)絡(luò)犯罪正在經(jīng)歷工業(yè)化浪潮,大規(guī)模犯罪集團(tuán)結(jié)成繁榮地下經(jīng)濟(jì),估計(jì)年產(chǎn)值甚至超1.5萬億美元之多。而且一些民族國家正在擴(kuò)張其網(wǎng)絡(luò)戰(zhàn)能力,比如收集情報(bào)、破壞關(guān)鍵基礎(chǔ)設(shè)施,或者幫助其本地經(jīng)濟(jì)。
網(wǎng)絡(luò)攻擊和客戶記錄泄露的開銷已上億。例如最近萬豪酒店就泄露了3.83億客戶記錄和超500萬護(hù)照號(hào),F(xiàn)acebook也曝光了5.4億客戶數(shù)據(jù)。
高管認(rèn)為網(wǎng)絡(luò)安全是IT任務(wù)
安全措施協(xié)調(diào)性差可能源于欠佳或耳目閉塞的高層領(lǐng)導(dǎo)。NTT調(diào)查研究揭示,84%的受訪者稱他們認(rèn)為網(wǎng)絡(luò)安全應(yīng)該是董事會(huì)議題,但僅72%的受訪者稱確實(shí)是董事會(huì)議題。1/4(23%)的受訪者稱公司內(nèi)有人負(fù)責(zé)管理日常安全(比如CISO),但僅13%的受訪者稱此人對(duì)網(wǎng)絡(luò)安全負(fù)有最終責(zé)任。
全部受訪者中近半數(shù)(45%),首席級(jí)高管受訪者中超過一半的人(57%),認(rèn)為網(wǎng)絡(luò)安全是IT部門的問題。這凸顯出了網(wǎng)絡(luò)安全和高管間常常存在的認(rèn)知缺口。很明顯,過去兩年間情況幾乎一成不變,即使一次成功攻擊即可造成重大經(jīng)濟(jì)和法律后果。聰明的企業(yè)領(lǐng)導(dǎo)需培育不一樣的企業(yè)思維,甄別出自家企業(yè)數(shù)字策略中的風(fēng)險(xiǎn)。
結(jié)語
網(wǎng)絡(luò)安全是企業(yè)領(lǐng)導(dǎo)的首要考慮。確實(shí)如此,因?yàn)閷?duì)IT正常運(yùn)轉(zhuǎn)時(shí)間和彈性的依賴從未如此巨大。但是企業(yè)董事會(huì)應(yīng)超越意識(shí)和言辭,落實(shí)到行動(dòng)上,切實(shí)減少企業(yè)風(fēng)險(xiǎn)暴露面,確保長期成功。
更嚴(yán)格的監(jiān)管框架和更高的違規(guī)罰款,正激發(fā)整個(gè)企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)和對(duì)合規(guī)的需求。但還需刺激企業(yè)治理的進(jìn)化發(fā)展。模擬時(shí)代行之有效的解決方案(比如簡單地將安全置于IT之下)已不在足夠,特別是當(dāng)來自數(shù)字運(yùn)營和品牌聲譽(yù)的收入和利潤利害攸關(guān)的時(shí)候。數(shù)字時(shí)代,幾乎每個(gè)董事會(huì)決策都將影響企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢。這正是為什么網(wǎng)絡(luò)安全應(yīng)是董事會(huì)議程表上常規(guī)事項(xiàng)的原因,也是網(wǎng)絡(luò)安全應(yīng)在更廣泛風(fēng)險(xiǎn)框架下不斷重新評(píng)估的原因所在。而最為關(guān)鍵的,是事件響應(yīng)與溝通計(jì)劃,以及經(jīng)常性演練。這些措施是企業(yè)有機(jī)會(huì)在遭遇成功網(wǎng)絡(luò)攻擊后快速恢復(fù)的唯一方法。