網絡風險是必需關心的問題

胡義裁

NTT Security對全球22個國家的2 200家企業進行了調查研究，其2019《風險：價值》報告中指出：網絡攻擊（43 %）、數據遺失或被盜（37 %）和針對電信及能源網絡的關鍵基礎設施攻擊（35 %），是受訪者最為擔憂的。他們認為這些威脅將在未來一年內給自家企業帶來更大風險，危害程度超出貿易壁壘和其他重大全球性事件，比如環境問題、恐怖主義和政府措施失效。

幸運的是，企業逐漸意識到了強化網絡安全的需求。84 %和85 %的公司企業分別表示，強化信息安全和保護數據完整性，與業務連續性同等重要，甚至超出盈利增長的重要性。90 %的受訪者認為強網絡安全有益于自己的公司。

網絡安全策略與事件響應計劃缺失

然而，很多公司企業甚至連基本的安全水平都維持不好。僅58 %的受訪者設置有正式的安全策略，且其中僅48 %稱其員工知道該安全策略的內容，意味著僅28 %的公司擁有員工理解的安全策略。事件響應計劃描述發生安全事件時利益相關者應采取的行動，這也是受訪公司企業的一大短板。僅52 %的受訪者設置有事件響應計劃。其中又僅57 %的受訪公司其員工切實知曉響應計劃的內容———雖然比2018年高了3 %。潛在后果很明顯：如果他們遭遇成功的網絡攻擊，這些企業對自身計劃的不熟悉將會導致事件處理舉步維艱，即便跌跌撞撞蒙混過關，也會耗費更長的時間恢復。

風險一直增加，安全預算卻原地踏步

除了規劃上的短板，公司企業還沒跟上不斷增長的IT依賴與風險。平均來看，15 %的IT預算導向安全，但自2018年開始，歸于安全的運營預算卻降到了16 %。這就很麻煩了，尤其是在物聯網和聯網運營技術（如工業4.0）激增導致攻擊界面指數級增長的情況下。

德國（14 %）和瑞士（12 %）的公司分給安全的IT預算占比最少。建筑和制造行業花在安全上的開支最少，IT預算中僅13 %分配給了安全。考慮到投入應對風險的資源如此微不足道，制造行業廣為使用的運營基礎設施中引入的潛在破壞性威脅就相當令人頭痛了。

1/3的公司寧可支付贖金

NTT研究中值得注意的一項發現是愿意支付贖金的公司數量令人驚訝。1/3的受訪者寧愿向罪犯交出贖金，也不愿投資網絡安全。他們聲稱：“這樣更便宜。”這種想法既危險又天真，因為這只會鼓勵壞人再次前來，胃口還可能比第一次大。

同樣比例的受訪者稱寧愿支付贖金也不愿因違規而受罰，暴露出對違規后果的恐懼，和對處理重要監管問題及實現健全事件響應計劃能力的自信匱乏。這一狀況令人擔憂，因為網絡罪犯是日漸精進的。事實上，網絡犯罪正在經歷工業化浪潮，大規模犯罪集團結成繁榮地下經濟，估計年產值甚至超1.5萬億美元之多。而且一些民族國家正在擴張其網絡戰能力，比如收集情報、破壞關鍵基礎設施，或者幫助其本地經濟。網絡攻擊和客戶記錄泄露的開銷已上億。例如最近萬豪酒店就泄露了3.83億客戶記錄和超500萬護照號，Facebook也曝光了5.4億客戶數據。

高管認為網絡安全是IT任務

安全措施協調性差可能源于“耳目閉塞”的高層領導。NTT調查研究揭示，84 %的受訪者稱他們認為網絡安全應該是董事會議題，但僅72 %的受訪者稱確實是董事會議題。23%的受訪者稱公司內有人負責管理日常安全（比如CISO），但僅13 %的受訪者稱此人對網絡安全負有最終責任。

45 %的受訪者和57 %的首席級高管認為網絡安全是IT部門的問題。這凸顯出了網絡安全和高管間常常存在的認知缺口。很明顯，過去兩年間情況幾乎一成不變，即使一次成功攻擊便可能造成重大經濟損失和法律后果。聰明的企業領導需要培育不一樣的企業思維，甄別出自家企業數字策略中的風險。

網絡安全是企業領導的首要考慮。確實如此，因為對IT正常運轉時間和彈性的依賴從未如此巨大。但是企業董事會應超越意識和言辭，落實到行動上，切實減少企業風險暴露面，確保長期成功。

更嚴格的監管框架和更高的違規罰款，正激發整個企業的網絡風險意識和對合規的需求。但還需刺激企業治理的進化發展。模擬時代行之有效的解決方案（比如簡單地將安全置于IT之下）已不在足夠，特別是當來自數字運營和品牌聲譽的收入和利潤利害攸關時。數字時代，幾乎每個董事會決策都將影響企業網絡風險態勢。這正是為什么網絡安全應是董事會議程表上常規事項的原因，也是網絡安全應在更廣泛風險框架下不斷重新評估的原因所在。而最為關鍵的是事件響應與溝通計劃，以及經常性演練。這些措施是企業有機會在遭遇成功網絡攻擊后快速恢復的唯一方法。