信息安全挑戰(zhàn)加劇

2014年是網(wǎng)絡(luò)威脅和數(shù)據(jù)泄密事件層出不窮的一年，從政府、銀行，到零售商、游戲網(wǎng)絡(luò)，影響范圍廣泛。

Steve Durbin 是信息安全論壇（ISF）的總經(jīng)理，ISF作為一家非營(yíng)利性協(xié)會(huì)，為其成員評(píng)估安全和風(fēng)險(xiǎn)管理問(wèn)題。Durbin表示，可以預(yù)計(jì)，未來(lái)網(wǎng)絡(luò)威脅的大小、嚴(yán)重性和復(fù)雜性會(huì)將不斷增加。

他說(shuō)：“信息安全面臨的新局面不是網(wǎng)絡(luò)威脅數(shù)量增多，而是復(fù)雜性和狡猾性增強(qiáng)。”

網(wǎng)絡(luò)犯罪加劇

Durbin表示，互聯(lián)網(wǎng)越來(lái)越吸引犯罪分子、激進(jìn)分子和恐怖分子，他們通過(guò)在線攻擊撈取錢財(cái)、引起注意、造成混亂，甚至企圖搞垮企業(yè)和政府。

如今的網(wǎng)絡(luò)犯罪分子技術(shù)高超，配備了非常現(xiàn)代化的工具，他們常常利用21世紀(jì)的工具來(lái)攻擊20世紀(jì)的系統(tǒng)。

“2014年，我們看到網(wǎng)絡(luò)罪犯分子展現(xiàn)出了更緊密的合作，擁有高超的技術(shù)能力，讓許多大型企業(yè)措手不及。” Durbin說(shuō)。

“2015年，企業(yè)必須對(duì)不可預(yù)知的情況有所防備，那樣才有可能抵御不可預(yù)知的、影響重大的事件。”他補(bǔ)充道，“網(wǎng)絡(luò)犯罪增多、黑客行動(dòng)加劇、技術(shù)日新月異，而應(yīng)對(duì)更高監(jiān)管要求的合規(guī)成本增加，以及安全部門投資不足，這些因素共同帶來(lái)了極其嚴(yán)重的威脅。”

隱私泄露和監(jiān)管成本上升

大多數(shù)國(guó)家的政府已經(jīng)制定或正在制定監(jiān)管法規(guī)，以加強(qiáng)對(duì)個(gè)人身份信息的保護(hù)，企業(yè)如果未能提供有力的保護(hù)，就要受到處罰。為了減少因用戶隱私泄密而導(dǎo)致的聲譽(yù)受損和客戶流失風(fēng)險(xiǎn)，以及監(jiān)管制裁成本，用戶個(gè)人信息對(duì)于企業(yè)來(lái)說(shuō)既是合規(guī)問(wèn)題，又是業(yè)務(wù)風(fēng)險(xiǎn)問(wèn)題。

2015年，全球各地的監(jiān)管法規(guī)可能會(huì)讓許多企業(yè)面臨日益加重的負(fù)擔(dān)。

Durbin說(shuō)：“我們發(fā)現(xiàn)，越來(lái)越多的政府計(jì)劃出臺(tái)信息收集、存儲(chǔ)和使用方面的監(jiān)管法規(guī)，如果企業(yè)在丟失數(shù)據(jù)、泄密后沒(méi)有通知，就會(huì)受到嚴(yán)重懲罰，歐盟國(guó)家尤為如此。這將給企業(yè)安全部門之外的職能部門也帶來(lái)監(jiān)管方面的開(kāi)銷。”

他補(bǔ)充說(shuō)，企業(yè)應(yīng)將歐盟處理數(shù)據(jù)泄密法規(guī)和隱私法規(guī)視作一個(gè)可參考的指標(biāo)，并提早做出相應(yīng)計(jì)劃。“監(jiān)管部門和政府都在竭力發(fā)揮作用。這會(huì)給企業(yè)帶來(lái)更大的負(fù)擔(dān)，它們需要部署資源來(lái)積極應(yīng)對(duì)。”

來(lái)自供應(yīng)商的威脅

供應(yīng)鏈?zhǔn)敲考移髽I(yè)業(yè)務(wù)運(yùn)營(yíng)的重要組成部分，也是如今全球經(jīng)濟(jì)的基礎(chǔ)。不過(guò)Durbin表示，各地的安全主管們?cè)絹?lái)越擔(dān)心供應(yīng)鏈上的眾多危險(xiǎn)因素。比如大量的寶貴信息和敏感信息常常需要與供應(yīng)商共享，共享信息就會(huì)失去對(duì)這部分信息的直接控制。這將會(huì)導(dǎo)致信息的機(jī)密性、完整性或可用性受到危及的風(fēng)險(xiǎn)加大。

連一些貌似無(wú)害的連接也有可能成為攻擊途徑。闖入美國(guó)Target百貨公司的攻擊者就鉆了一款Web服務(wù)應(yīng)用程序的空子，該公司的暖通空調(diào)廠商利用該應(yīng)用程序來(lái)提交發(fā)票。

Durbin說(shuō)：“在接下來(lái)一年，供應(yīng)商會(huì)繼續(xù)面臨針對(duì)性攻擊的壓力，能夠保證數(shù)據(jù)機(jī)密性、完整性、可用性的可能性非常小。供應(yīng)商無(wú)意中訪問(wèn)企業(yè)知識(shí)產(chǎn)權(quán)、客戶或員工信息、商業(yè)計(jì)劃或談判合同的后果，雖然無(wú)意，但卻有可能帶來(lái)危害。這種想法不應(yīng)該局限于制造或分銷合作伙伴，還適用于企業(yè)的專業(yè)服務(wù)供應(yīng)商、律師和會(huì)計(jì)師，他們都經(jīng)常可以訪問(wèn)企業(yè)最寶貴的數(shù)據(jù)資產(chǎn)。”

Durbin補(bǔ)充道，信息安全專家應(yīng)與服務(wù)承包方密切合作，共同對(duì)潛在的威脅展開(kāi)全面的盡職調(diào)查。

他說(shuō)：“結(jié)構(gòu)良好的供應(yīng)鏈信息風(fēng)險(xiǎn)評(píng)估方法可以提供詳細(xì)、逐步的方法，將原本很艱巨的項(xiàng)目分為多個(gè)易于管理的部分。這種方法應(yīng)該由信息驅(qū)動(dòng)，而不是以供應(yīng)商為中心。”

BYOD趨勢(shì)難擋

Durbin表示，無(wú)論企業(yè)喜歡不喜歡，自帶設(shè)備（BYOD）趨勢(shì)已蔚然成風(fēng)。可卻很少有企業(yè)制定了良好的政策指導(dǎo)準(zhǔn)則應(yīng)對(duì)這種趨勢(shì)。

“隨著越來(lái)越多的員工將移動(dòng)設(shè)備、應(yīng)用程序和基于云的存儲(chǔ)服務(wù)帶到工作場(chǎng)所，大大小小的企業(yè)看到信息安全風(fēng)險(xiǎn)比以前更大了。這些風(fēng)險(xiǎn)來(lái)自企業(yè)內(nèi)外的威脅，包括設(shè)備本身管理不當(dāng)，外部操控軟件漏洞，以及部署沒(méi)有經(jīng)過(guò)充分測(cè)試、不可靠的業(yè)務(wù)應(yīng)用程序等。”

他特別指出：“如果實(shí)施不當(dāng)，工作場(chǎng)所的個(gè)人設(shè)備策略可能會(huì)因工作數(shù)據(jù)和個(gè)人數(shù)據(jù)缺乏界限而無(wú)意中披露數(shù)據(jù)，更多的業(yè)務(wù)信息可能保存在消費(fèi)級(jí)設(shè)備當(dāng)中，而且沒(méi)有得到保護(hù)。”

而實(shí)際上，Durbin表示，即便企業(yè)制定了禁止BYOD的政策，預(yù)計(jì)用戶也會(huì)想方設(shè)法用自己的設(shè)備來(lái)辦公。

他說(shuō)：“用戶的力量實(shí)在太強(qiáng)大了。這有點(diǎn)像是試圖阻擋潮水。你也許能阻止潮水涌入一小塊沙灘，但潮水總有辦法繞過(guò)它。”

讓員工成為第一道防線

這又回到了每家企業(yè)最重要的資產(chǎn)、也是最容易受攻擊的對(duì)象：?jiǎn)T工。

在過(guò)去幾十年，企業(yè)花在加強(qiáng)信息安全意識(shí)培養(yǎng)上的開(kāi)支即便沒(méi)有數(shù)十億美元，也有數(shù)千萬(wàn)美元。Durbin表示，這種方法基于的道理是，讓最重要的資產(chǎn)——員工改變行為，讓他們了解自身的責(zé)任、要做的工作，從而降低風(fēng)險(xiǎn)。

但這種方法以前不管用，以后也不會(huì)管用。相反，企業(yè)要讓積極的安全行為成為業(yè)務(wù)流程的一部分，讓員工由風(fēng)險(xiǎn)變成企業(yè)安全體系的第一道防線。

Durbin說(shuō)：“進(jìn)入2015年后，企業(yè)需要改變工作重心，由原來(lái)加強(qiáng)安全意識(shí)、注意安全問(wèn)題，變成制定解決方案，整合降低風(fēng)險(xiǎn)的信息安全行為。”

Durbin說(shuō)：“不能僅僅讓員工意識(shí)到信息安全責(zé)任以及如何應(yīng)對(duì)，對(duì)于企業(yè)來(lái)說(shuō)，解決之道是整合積極的信息安全行為，讓這成為一種習(xí)慣，成為企業(yè)信息安全文化的一部分。”（編譯/沈建苗）