邱燕娜

2015年2月，一個全球性的黑客組織從30個國家的100多家銀行竊取了10億美元;5月底攜程網(wǎng)遭攻擊導(dǎo)致網(wǎng)站全面癱瘓，攜程網(wǎng)稱這是內(nèi)部操作失誤所致;7月，研究人員成功地通過互聯(lián)網(wǎng)攻入并控制一輛汽車，導(dǎo)致一系列類似的漏洞曝光，引發(fā)消費(fèi)者對物聯(lián)網(wǎng)產(chǎn)品的擔(dān)憂……2015年信息安全形勢依舊嚴(yán)峻，互聯(lián)網(wǎng)的推廣應(yīng)用，特別是物聯(lián)網(wǎng)的應(yīng)用，帶來了新的安全挑戰(zhàn)。

普華永道最新發(fā)布的全球信息安全狀況調(diào)查（簡稱調(diào)查）結(jié)果顯示，信息安全事故數(shù)量不斷增加，網(wǎng)絡(luò)安全仍然是關(guān)注的焦點(diǎn)。在中國，過去12個月中，平均每家受訪企業(yè)檢測到的信息安全事件從去年的241次上升到今年的1245次，增加了517%。

從全球來看，調(diào)查發(fā)現(xiàn)，在過去一年中各行業(yè)檢測到的信息安全事件平均數(shù)量為6853次。與去年同期相比，由這些網(wǎng)絡(luò)犯罪事件所導(dǎo)致的全球平均財(cái)產(chǎn)損失為255萬美元，下降了5%;而中國這一數(shù)字達(dá)到263萬美元，提高了10%。

普華永道中國網(wǎng)絡(luò)安全服務(wù)合伙人冼嘉樂表示：“這一年，中國各重要行業(yè)檢測到的安全事件都在增加，這也是全球普遍需要應(yīng)對的狀況。當(dāng)下，網(wǎng)絡(luò)攻擊來自各個方面與維度，其中消費(fèi)與零售、科技等領(lǐng)域尤為嚴(yán)重。”

在中國，企業(yè)的客戶數(shù)據(jù)、內(nèi)部信息和知識產(chǎn)權(quán)成為網(wǎng)絡(luò)攻擊主要鎖定的目標(biāo)。其中，針對客戶數(shù)據(jù)的安全事件數(shù)量上升64%，遠(yuǎn)高于35%的全球平均值。

物聯(lián)網(wǎng)應(yīng)用安全正在成為一個新的關(guān)注點(diǎn)。然而，調(diào)查顯示，許多受訪者都還沒有為物聯(lián)網(wǎng)應(yīng)用帶來的安全風(fēng)險(xiǎn)做好準(zhǔn)備：目前只有約44%的中國企業(yè)擁有相應(yīng)的安全策略。

值得注意的是，在所有檢測到的安全事件中，有50%歸因于企業(yè)現(xiàn)有和離任雇員等內(nèi)部人員。此外，大量的內(nèi)部攻擊來源尚不確定，未知內(nèi)部人士參與的安全事件占42%。事實(shí)上，攜程網(wǎng)癱瘓就是其中的一個典型案例。

為了應(yīng)對不斷升級的信息安全事件，企業(yè)也在多方嘗試以求改善。很多受訪的中國企業(yè)主動采用風(fēng)險(xiǎn)導(dǎo)向的信息安全框架（如信息安全管理體系ISO27001），強(qiáng)化外部合作，雇傭相關(guān)的高級管理人員（如首席隱私官），以提高信息安全并降低風(fēng)險(xiǎn)。

與此同時(shí)，企業(yè)在信息安全方面的投入顯著增加。其中，中國受訪者所在企業(yè)在信息安全方面的預(yù)算增加了16%，平均值達(dá)790萬美元，高于全球平均值510萬美元。

冼嘉樂告訴記者，相比過去企業(yè)更多地將預(yù)算用于購買設(shè)備，如今企業(yè)更多地將預(yù)算用于優(yōu)化防御手段，提高檢測、分析能力。特別是當(dāng)前各企業(yè)正在積極完善安全管理體系，將很多預(yù)算投入到人員培訓(xùn)、安全意識宣貫等領(lǐng)域。

“企業(yè)需要持續(xù)完善其安全防護(hù)機(jī)制以應(yīng)對日益增加的信息安全風(fēng)險(xiǎn)?！辟螛繁硎?，“我們建議企業(yè)搭建和實(shí)施穩(wěn)健的安全控制系統(tǒng)，以快速識別來自內(nèi)部的安全威脅，提高安全管控能力。此外，企業(yè)應(yīng)當(dāng)將網(wǎng)絡(luò)安全融入企業(yè)的戰(zhàn)略層面，滲透到企業(yè)關(guān)注的各個領(lǐng)域，制定針對物聯(lián)網(wǎng)等新技術(shù)的發(fā)展計(jì)劃，結(jié)合網(wǎng)絡(luò)安全法。”