“對于技術(shù)方案的認(rèn)知匱乏以及相關(guān)風(fēng)險(xiǎn)處理能力低下——特別是網(wǎng)絡(luò)風(fēng)險(xiǎn)或者關(guān)鍵性信息基礎(chǔ)設(shè)施破壞所帶來的系統(tǒng)性級(jí)聯(lián)效應(yīng)——可能會(huì)給國家經(jīng)濟(jì)、各經(jīng)濟(jì)組織乃至全球企業(yè)帶來深遠(yuǎn)的影響。”——世界經(jīng)濟(jì)論壇《2016年全球風(fēng)險(xiǎn)報(bào)告》
世界經(jīng)濟(jì)論壇(簡稱WEF)于2016年1月14日,也就是剛剛開幕的著名達(dá)沃斯會(huì)議的前一周,發(fā)布了《2016年全球風(fēng)險(xiǎn)報(bào)告》。以下內(nèi)容援引自該報(bào)告當(dāng)中與網(wǎng)絡(luò)風(fēng)險(xiǎn)與網(wǎng)絡(luò)恢復(fù)能力相關(guān)的主要研究成果。
網(wǎng)絡(luò)風(fēng)險(xiǎn)仍是一項(xiàng)高關(guān)注度任務(wù)
這份報(bào)告提供了一系列證據(jù),表明網(wǎng)絡(luò)風(fēng)險(xiǎn)仍是目前全球范圍內(nèi)企業(yè)領(lǐng)導(dǎo)者們最為關(guān)注的任務(wù)之一。這些證據(jù)不僅證明網(wǎng)絡(luò)相關(guān)風(fēng)險(xiǎn)所涉及國家數(shù)量之巨,同時(shí)也可以通過報(bào)告中的具體措辭了解到網(wǎng)絡(luò)風(fēng)險(xiǎn)的現(xiàn)實(shí)狀況:“互聯(lián)網(wǎng)已經(jīng)開啟一片新的戰(zhàn)爭領(lǐng)域:與網(wǎng)絡(luò)對接乃至相關(guān)的一切皆能夠被突破。”
這份報(bào)告的重要結(jié)論之一在于,對美國市場而言,網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)已經(jīng)被列為頭等威脅。在附帶的新聞稿當(dāng)中,世界經(jīng)濟(jì)論壇表示目前已經(jīng)有至少七個(gè)國家將網(wǎng)絡(luò)攻擊視為企業(yè)領(lǐng)導(dǎo)者最為關(guān)注的頂級(jí)威脅,其中包括日本、德國、瑞士與新加坡。
網(wǎng)絡(luò)攻擊同時(shí)也被另外27個(gè)世界經(jīng)濟(jì)體列為關(guān)注風(fēng)險(xiǎn)類型清單中的前五名。不過從全球風(fēng)險(xiǎn)的角度來看,網(wǎng)絡(luò)攻擊并沒能入選前五——低于2012年的第四位與2014年的第五位。
這份報(bào)告同時(shí)指出,對于網(wǎng)絡(luò)的愈發(fā)高企的依賴性本身也成為一項(xiàng)潛在的未來風(fēng)險(xiǎn):“相關(guān)事故在發(fā)生頻率與規(guī)模方面一直不斷增長。截至目前,網(wǎng)絡(luò)攻擊活動(dòng)仍然主要涉及單一業(yè)務(wù)實(shí)體或者國家,但隨著物聯(lián)網(wǎng)所帶來的人與機(jī)器之間更為緊密的聯(lián)系,網(wǎng)絡(luò)依賴關(guān)系——受訪者們普遍認(rèn)為其已經(jīng)成為第三大全球性趨勢——將進(jìn)一步增強(qiáng),而網(wǎng)絡(luò)攻擊機(jī)率提升亦與整個(gè)網(wǎng)絡(luò)生態(tài)系統(tǒng)存在著潛在連鎖效應(yīng)。這意味著單一實(shí)體所面臨之風(fēng)險(xiǎn)越來越多地同其它實(shí)體關(guān)聯(lián)起來。”
IT之重要性愈發(fā)突出
這份報(bào)告同時(shí)提醒稱,盡管各企業(yè)已經(jīng)意識(shí)到IT所能夠帶來的可觀價(jià)值,但它們“可能還沒有充分應(yīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn),同時(shí)利用適當(dāng)?shù)耐顿Y水平提升自身運(yùn)營風(fēng)險(xiǎn)管理能力并加強(qiáng)組織應(yīng)變水平。”其進(jìn)一步警告稱,“未來的每一項(xiàng)沖突都將包含有網(wǎng)絡(luò)元素,而且其中一部分甚至有可能給網(wǎng)絡(luò)領(lǐng)域帶來全面打擊。”
這些可怕的前景無疑將給網(wǎng)絡(luò)安全管理者帶來巨大壓力。“考慮到在網(wǎng)絡(luò)層面攻擊活動(dòng)的實(shí)現(xiàn)難度要遠(yuǎn)低于防御工作,因此這將顯著改變整個(gè)安全體系應(yīng)對潛在違規(guī)行為的方式。物理距離已經(jīng)無法提供足夠的保護(hù),大量技術(shù)存在兩面性,很多重要的基礎(chǔ)設(shè)施為私有資產(chǎn),而難于追蹤的特性也讓我們很難掌握攻擊活動(dòng)的來源。”新朋友請關(guān)注「E安全」微信搜公眾號(hào)EAQapp
最后,報(bào)告批評(píng)了各企業(yè)當(dāng)中圍繞網(wǎng)絡(luò)風(fēng)險(xiǎn)建立的現(xiàn)有歸屬與協(xié)作狀態(tài)。“盡管CEO們對于網(wǎng)絡(luò)風(fēng)險(xiǎn)的提升表示擔(dān)憂,但網(wǎng)絡(luò)風(fēng)險(xiǎn)責(zé)任的實(shí)際歸屬仍然比較模糊,”這份報(bào)告指出。“企業(yè)中的哪些成員應(yīng)當(dāng)作為風(fēng)險(xiǎn)的擁有者?盡管目前已經(jīng)存在大量C級(jí)風(fēng)險(xiǎn)管轄者(包括CISO、CFO、CEO、CRO、風(fēng)險(xiǎn)管理),而每位管轄者的定位亦有所不同,但他們往往并不了解風(fēng)險(xiǎn)本身或者未能在管理層面進(jìn)行有效合作。因此,針對網(wǎng)絡(luò)風(fēng)險(xiǎn)做出明確的角色與職責(zé)劃分將非常重要。”
世界經(jīng)濟(jì)論壇要求各企業(yè)積極參與
早在2012年,世界經(jīng)濟(jì)論壇就已經(jīng)發(fā)起了一項(xiàng)倡議,旨在推動(dòng)企業(yè)領(lǐng)導(dǎo)者認(rèn)真審視并參與到網(wǎng)絡(luò)恢復(fù)工作當(dāng)中。在其發(fā)布的《攜手實(shí)現(xiàn)網(wǎng)絡(luò)彈性》文件當(dāng)中,世界經(jīng)濟(jì)論壇將網(wǎng)絡(luò)彈性定義為“系統(tǒng)及企業(yè)抵御網(wǎng)絡(luò)事件的能力,具體水平由平均故障時(shí)間與平均恢復(fù)時(shí)間綜合計(jì)算得出。”
這份文件還包含了與網(wǎng)絡(luò)彈性相關(guān)的五級(jí)成熟度模型。各企業(yè)會(huì)根據(jù)其應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn)的實(shí)際方式被歸劃為以下類別之一:
1、無意識(shí)
2、碎片化
3、自上而下
4、普及
5、網(wǎng)絡(luò)化
世界經(jīng)濟(jì)論壇要求各位企業(yè)高管采取四項(xiàng)關(guān)鍵性舉措以應(yīng)對網(wǎng)絡(luò)風(fēng)險(xiǎn),而其具體內(nèi)容被發(fā)布在其題為《超連接時(shí)代下的風(fēng)險(xiǎn)與責(zé)任:通往全球網(wǎng)絡(luò)彈性之路》的文章當(dāng)中。這四項(xiàng)原則性舉措包括:
1.依賴性意識(shí):有關(guān)各方都應(yīng)在推進(jìn)彈性共享式數(shù)字化空間方面發(fā)揮自己的作用。
2.領(lǐng)導(dǎo)角色:鼓勵(lì)企業(yè)高管人員關(guān)注并統(tǒng)領(lǐng)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理事務(wù)。
3.綜合性風(fēng)險(xiǎn)管理:開發(fā)出一套切實(shí)有效的實(shí)施方案。
4.促進(jìn)推廣:在適當(dāng)情況下,鼓勵(lì)供應(yīng)商與客戶擁有相近的網(wǎng)絡(luò)風(fēng)險(xiǎn)意識(shí)與保障水平。
總體來講,《2016年全球風(fēng)險(xiǎn)報(bào)告》向企業(yè)領(lǐng)導(dǎo)者們提出了一項(xiàng)明確的警告,要求他們積極對網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與治理做出努力,并盡快著手解決企業(yè)網(wǎng)絡(luò)彈性需求——這將密切關(guān)注到企業(yè)自身的資產(chǎn)安全與商業(yè)聲譽(yù)。