1704246295
从1到N:企业数字化生存指南 [:1704244923]
1704246296
从1到N:企业数字化生存指南 5.3 网络安全:安全数字经济的艺术(3)
1704246297
1704246298
2016年,在孟加拉国央行加入全球银行通信网络Swift后,一伙神通广大的黑客用恶意软件将孟加拉国居民的汇款转向了其他账户,导致该央行损失达8 100万美元。一年前,黑客也入侵了索尼影业的服务器,并且公布了该公司执行董事的薪酬及员工的详细个人信息,此外,黑客还试图强迫该公司取消发行讽刺朝鲜最高领导人金正恩的电影,但未能成功。2014年,一群黑客窃取了大众汽车电子钥匙内信号传送器的代码,这些代码可以用来打开车门并启动发动机,是窃车贼的绝佳工具。
1704246299
1704246300
虽然上述事件只是大量黑客事件中的三个例子,但足以暴露数字经济体的脆弱。目前,我们面临的网络安全风险是相当严峻的。据麦肯锡估计,如果企业和政府不采取有效应对网络威胁的措施,那么截至2020年,全球因网络安全而产生的损失将高达30亿美元。而且,随着经济体数字化程度的日益提高,网络攻击者也能找到更多的攻击切入点。
1704246301
1704246302
网络攻击者会出于不同的利益从不同方面发起攻击,在有些情况下,某些民族或国家会是网络攻击的幕后黑手,或是想窃取信息来促进本国经济的发展,或是想削弱其政敌的势力;竞争企业有时也会发起网络攻击,以窃取其竞争对手的技术并据为己有,或者只是为了显示其竞争对手对敏感数据的保护不力,使其名誉扫地。另外有些黑客组织则拥有一系列意向目标,这些“激进黑客”可能想要揭露目标企业针对他方的非法活动,或者推广自己的观念,包括反资本主义、民族主义和生态政策等。而有些网络攻击者只是单纯为了证明自己的技术实力。此外,网络攻击还可能来自组织内部,包括受挫的、被收买的或是受自身良心驱使的员工。
1704246303
1704246304
实现网络弹性的七项措施
1704246305
1704246306
在一项对全球经理人的调查中,三分之二的受访者认为网络攻击会带来严重的问题,并且可能会产生重大的战略影响,只有5%的受访者认为自己的企业有能力实施该调查中列出的六种防范网络攻击的方法。此外,有80%的受访者担心黑客的学习速度比企业更快。而且,防范网络攻击的应对措施可能会对业务产生不利的连锁效应,例如,安全措施会将移动端新功能的发布时间平均延长六个月。约四分之三的受访者还表示,网络安全方面的要求导致数据分享速度放缓,因此企业前线员工的效率已经出现了下降。
1704246307
1704246308
现在,人们普遍认为,以前的安全模型已经不堪重负。直到2007年前后,此前疏于管理的IT部门才建立起了具有严密流程和可靠设施的安全网络,尽管如此,目前这些安全网络的漏洞还在日益增加。为了应对当前的风险,需要一种在流程设计阶段就制定安全措施的解决方案。企业应对风险的最佳方式是采用旨在实现网络弹性的程序,其中“弹性”是商业科学从进化生物学中借来的一个术语,是指系统承受破坏、冲击的能力,以及在遭受破坏、冲击的情况下仍保持运行的能力。企业可以通过七项措施来实现网络弹性(见表5-1)。
1704246309
1704246310
通过布局适当的IT安全架构和正确应用这七项法则,企业可以建立起应对网络攻击的强大抵御能力。
1704246311
1704246312
(1)优先级列表:哪些数据面临最大的业务风险?
1704246313
1704246314
只有很少企业对哪些业务数据最重要有着清晰的认识,因此,企业的安全团队首先就需要与管理层合作,梳理整个业务价值链,评估其中存在最大风险的环节。新产品设计数据、自学习制造流程数据和敏感客户数据中,哪种数据的丢失会导致最大的信誉危机?
1704246315
1704246316
表5-1 现在,企业可以通过七项措施,将网络安全变为业务中不可或缺的部分
1704246317
1704246318
1704246319
1704246320
1704246321
银行和保险公司多年来都采用这种方法来评估自身风险,被称之为“皇冠之珠”项目。该方法也应当适用于诸多其他行业。
1704246322
1704246323
(2)客户经理必须成为安全团队的一员,要认识到数据是企业资产的一部分。
1704246324
1704246325
只有那些使用数据的员工才会真正理解数据的价值,从而重视网络安全问题,这也是企业需要对员工进行网络安全培训的原因。
1704246326
1704246327
早在2002年,微软公司创始人比尔·盖茨就亲自负责安全问题,他在一份致全体员工的紧急提醒中表示,产品安全绝对是第一要务,如果要在给新产品增加更多功能与让产品变得更加安全之间进行选择,那么必须选择后者。2003年,盖茨在微软公司推出“周二补丁日”活动,持续修补其软件产品的安全漏洞。
1704246328
1704246329
(3)网络弹性成为风险管理的一种手段。
1704246330
1704246331
网络安全性是企业风险的一部分,企业必须将网络安全当作风险因素进行管理。而且,企业必须将网络攻击的风险评估纳入到其他风险评估中,并将评估结果向相关管理层成员报告,在高管层中进行讨论。
1704246332
1704246333
为了确保网络弹性,网络防御措施必须成为企业流程规划的组成部分。例如,在工业4.0和工业互联网时代早期的2012年,通用电气公司就宣布,要让安全组件成为其机器、软件和网络设计中不可分割的部分,该公司还在2014年收购了专业安全公司Wurdtech,以增强企业的安全技能。
1704246334
1704246335
(4)网络战争游戏:持续测试安全防御系统。
1704246336
1704246337
对企业来说,与其坐等恶意网络攻击,不如在这之前就请专人来进行模拟攻击,以发现企业IT系统中的薄弱环节。美国联合航空公司就采取了上述方法。通过“漏洞奖励”计划,该企业向能够发现其程序漏洞的黑客提供免费航空里程。巴克莱银行甚至设立了一个专门的内部黑客部门来攻击其IT系统,及时修复漏洞。而一家欧洲电子集团的CEO甚至花了两天时间参与了对该集团的模拟网络攻击。
1704246338
1704246339
已经意识到网络安全重要性的企业也需要演习应对强大网络攻击的紧急措施。因为如果企业数据泄露为公众所知,错误的应对将会产生严重的后果,为此,不仅IT经理,营销、客户服务和公共关系部门都必须制定正确的应对预案。
1704246340
1704246341
(5)安全技术:IT架构中不可分割的一部分。
1704246342
1704246343
操作系统、通信日志和应用程序是IT架构中的重要组成部分。如果这些部分由于配置、测试和维护不佳而给潜在网络攻击提供可乘之机,那么它们都有可能引发安全风险。无论是硬件、中间件还是应用软件,IT架构中所有的组成部分都必须考虑安全要素,并且在开发过程中应当对安全要素的弹性进行持续测试和调整。所有这些组成部分汇集起来意味着大量的潜在安全问题,只有通过持续的测试和维护才能发现。
1704246344