網(wǎng)絡(luò)風(fēng)險(xiǎn)是必需關(guān)心的問(wèn)題

胡義裁

NTT Security對(duì)全球22個(gè)國(guó)家的2 200家企業(yè)進(jìn)行了調(diào)查研究，其2019《風(fēng)險(xiǎn)：價(jià)值》報(bào)告中指出：網(wǎng)絡(luò)攻擊（43 %）、數(shù)據(jù)遺失或被盜（37 %）和針對(duì)電信及能源網(wǎng)絡(luò)的關(guān)鍵基礎(chǔ)設(shè)施攻擊（35 %），是受訪(fǎng)者最為擔(dān)憂(yōu)的。他們認(rèn)為這些威脅將在未來(lái)一年內(nèi)給自家企業(yè)帶來(lái)更大風(fēng)險(xiǎn)，危害程度超出貿(mào)易壁壘和其他重大全球性事件，比如環(huán)境問(wèn)題、恐怖主義和政府措施失效。

幸運(yùn)的是，企業(yè)逐漸意識(shí)到了強(qiáng)化網(wǎng)絡(luò)安全的需求。84 %和85 %的公司企業(yè)分別表示，強(qiáng)化信息安全和保護(hù)數(shù)據(jù)完整性，與業(yè)務(wù)連續(xù)性同等重要，甚至超出盈利增長(zhǎng)的重要性。90 %的受訪(fǎng)者認(rèn)為強(qiáng)網(wǎng)絡(luò)安全有益于自己的公司。

網(wǎng)絡(luò)安全策略與事件響應(yīng)計(jì)劃缺失

然而，很多公司企業(yè)甚至連基本的安全水平都維持不好。僅58 %的受訪(fǎng)者設(shè)置有正式的安全策略，且其中僅48 %稱(chēng)其員工知道該安全策略的內(nèi)容，意味著僅28 %的公司擁有員工理解的安全策略。事件響應(yīng)計(jì)劃描述發(fā)生安全事件時(shí)利益相關(guān)者應(yīng)采取的行動(dòng)，這也是受訪(fǎng)公司企業(yè)的一大短板。僅52 %的受訪(fǎng)者設(shè)置有事件響應(yīng)計(jì)劃。其中又僅57 %的受訪(fǎng)公司其員工切實(shí)知曉響應(yīng)計(jì)劃的內(nèi)容———雖然比2018年高了3 %。潛在后果很明顯：如果他們?cè)庥龀晒Φ木W(wǎng)絡(luò)攻擊，這些企業(yè)對(duì)自身計(jì)劃的不熟悉將會(huì)導(dǎo)致事件處理舉步維艱，即便跌跌撞撞蒙混過(guò)關(guān)，也會(huì)耗費(fèi)更長(zhǎng)的時(shí)間恢復(fù)。

風(fēng)險(xiǎn)一直增加，安全預(yù)算卻原地踏步

除了規(guī)劃上的短板，公司企業(yè)還沒(méi)跟上不斷增長(zhǎng)的IT依賴(lài)與風(fēng)險(xiǎn)。平均來(lái)看，15 %的IT預(yù)算導(dǎo)向安全，但自2018年開(kāi)始，歸于安全的運(yùn)營(yíng)預(yù)算卻降到了16 %。這就很麻煩了，尤其是在物聯(lián)網(wǎng)和聯(lián)網(wǎng)運(yùn)營(yíng)技術(shù)（如工業(yè)4.0）激增導(dǎo)致攻擊界面指數(shù)級(jí)增長(zhǎng)的情況下。

德國(guó)（14 %）和瑞士（12 %）的公司分給安全的IT預(yù)算占比最少。建筑和制造行業(yè)花在安全上的開(kāi)支最少，IT預(yù)算中僅13 %分配給了安全。考慮到投入應(yīng)對(duì)風(fēng)險(xiǎn)的資源如此微不足道，制造行業(yè)廣為使用的運(yùn)營(yíng)基礎(chǔ)設(shè)施中引入的潛在破壞性威脅就相當(dāng)令人頭痛了。

1/3的公司寧可支付贖金

NTT研究中值得注意的一項(xiàng)發(fā)現(xiàn)是愿意支付贖金的公司數(shù)量令人驚訝。1/3的受訪(fǎng)者寧愿向罪犯交出贖金，也不愿投資網(wǎng)絡(luò)安全。他們聲稱(chēng)：“這樣更便宜。”這種想法既危險(xiǎn)又天真，因?yàn)檫@只會(huì)鼓勵(lì)壞人再次前來(lái)，胃口還可能比第一次大。

同樣比例的受訪(fǎng)者稱(chēng)寧愿支付贖金也不愿因違規(guī)而受罰，暴露出對(duì)違規(guī)后果的恐懼，和對(duì)處理重要監(jiān)管問(wèn)題及實(shí)現(xiàn)健全事件響應(yīng)計(jì)劃能力的自信匱乏。這一狀況令人擔(dān)憂(yōu)，因?yàn)榫W(wǎng)絡(luò)罪犯是日漸精進(jìn)的。事實(shí)上，網(wǎng)絡(luò)犯罪正在經(jīng)歷工業(yè)化浪潮，大規(guī)模犯罪集團(tuán)結(jié)成繁榮地下經(jīng)濟(jì)，估計(jì)年產(chǎn)值甚至超1.5萬(wàn)億美元之多。而且一些民族國(guó)家正在擴(kuò)張其網(wǎng)絡(luò)戰(zhàn)能力，比如收集情報(bào)、破壞關(guān)鍵基礎(chǔ)設(shè)施，或者幫助其本地經(jīng)濟(jì)。網(wǎng)絡(luò)攻擊和客戶(hù)記錄泄露的開(kāi)銷(xiāo)已上億。例如最近萬(wàn)豪酒店就泄露了3.83億客戶(hù)記錄和超500萬(wàn)護(hù)照號(hào)，F(xiàn)acebook也曝光了5.4億客戶(hù)數(shù)據(jù)。

高管認(rèn)為網(wǎng)絡(luò)安全是IT任務(wù)

安全措施協(xié)調(diào)性差可能源于“耳目閉塞”的高層領(lǐng)導(dǎo)。NTT調(diào)查研究揭示，84 %的受訪(fǎng)者稱(chēng)他們認(rèn)為網(wǎng)絡(luò)安全應(yīng)該是董事會(huì)議題，但僅72 %的受訪(fǎng)者稱(chēng)確實(shí)是董事會(huì)議題。23%的受訪(fǎng)者稱(chēng)公司內(nèi)有人負(fù)責(zé)管理日常安全（比如CISO），但僅13 %的受訪(fǎng)者稱(chēng)此人對(duì)網(wǎng)絡(luò)安全負(fù)有最終責(zé)任。

45 %的受訪(fǎng)者和57 %的首席級(jí)高管認(rèn)為網(wǎng)絡(luò)安全是IT部門(mén)的問(wèn)題。這凸顯出了網(wǎng)絡(luò)安全和高管間常常存在的認(rèn)知缺口。很明顯，過(guò)去兩年間情況幾乎一成不變，即使一次成功攻擊便可能造成重大經(jīng)濟(jì)損失和法律后果。聰明的企業(yè)領(lǐng)導(dǎo)需要培育不一樣的企業(yè)思維，甄別出自家企業(yè)數(shù)字策略中的風(fēng)險(xiǎn)。

網(wǎng)絡(luò)安全是企業(yè)領(lǐng)導(dǎo)的首要考慮。確實(shí)如此，因?yàn)閷?duì)IT正常運(yùn)轉(zhuǎn)時(shí)間和彈性的依賴(lài)從未如此巨大。但是企業(yè)董事會(huì)應(yīng)超越意識(shí)和言辭，落實(shí)到行動(dòng)上，切實(shí)減少企業(yè)風(fēng)險(xiǎn)暴露面，確保長(zhǎng)期成功。

更嚴(yán)格的監(jiān)管框架和更高的違規(guī)罰款，正激發(fā)整個(gè)企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)和對(duì)合規(guī)的需求。但還需刺激企業(yè)治理的進(jìn)化發(fā)展。模擬時(shí)代行之有效的解決方案（比如簡(jiǎn)單地將安全置于IT之下）已不在足夠，特別是當(dāng)來(lái)自數(shù)字運(yùn)營(yíng)和品牌聲譽(yù)的收入和利潤(rùn)利害攸關(guān)時(shí)。數(shù)字時(shí)代，幾乎每個(gè)董事會(huì)決策都將影響企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)態(tài)勢(shì)。這正是為什么網(wǎng)絡(luò)安全應(yīng)是董事會(huì)議程表上常規(guī)事項(xiàng)的原因，也是網(wǎng)絡(luò)安全應(yīng)在更廣泛風(fēng)險(xiǎn)框架下不斷重新評(píng)估的原因所在。而最為關(guān)鍵的是事件響應(yīng)與溝通計(jì)劃，以及經(jīng)常性演練。這些措施是企業(yè)有機(jī)會(huì)在遭遇成功網(wǎng)絡(luò)攻擊后快速恢復(fù)的唯一方法。