互聯(lián)互通驅(qū)動(dòng)著技術(shù)的不斷顛覆,積極應(yīng)對(duì)網(wǎng)絡(luò)安全問題成為全球共識(shí),安永要做的工作就是通過自動(dòng)化技術(shù)來幫助企業(yè)將第一代網(wǎng)絡(luò)安全能力升級(jí)。
——安永公司亞太區(qū)CYBER主管合伙人?Richard Watson
當(dāng)今的世界有危險(xiǎn),有機(jī)遇,很明顯我們現(xiàn)在面臨著技術(shù)顛覆的時(shí)代。造成顛覆的原因是什么?原因包括越來越快的信息傳輸速度,比如5G技術(shù),還有器械設(shè)備的互聯(lián)互通,以及自動(dòng)化技術(shù)的發(fā)展。技術(shù)的顛覆對(duì)企業(yè)的業(yè)務(wù)來講意味著什么?企業(yè)需要改變運(yùn)作模式、商業(yè)模式,我們現(xiàn)在的業(yè)務(wù)周期變得越來越短,各個(gè)行業(yè)之間不斷融合,橫跨的業(yè)務(wù)板塊越來越多樣,市場(chǎng)變化越來越迅速。
在技術(shù)顛覆的時(shí)代,廣泛存在的是融合,有IT與OT環(huán)境的融合,還有網(wǎng)絡(luò)與機(jī)械設(shè)備的融合等。隨著AI技術(shù)的演變,以及自動(dòng)化技術(shù)、傳感器、云計(jì)算等發(fā)展,各部分運(yùn)作系統(tǒng)之間的隔離正在被破除。這種技術(shù)發(fā)展帶來的連接性可能會(huì)將以前的一些本地問題變成全球性問題,帶來更大的企業(yè)聲譽(yù)風(fēng)險(xiǎn),造成重大的財(cái)務(wù)損失,甚至還會(huì)對(duì)人身安全造成影響。另外,這種連接性還會(huì)給整個(gè)OT系統(tǒng)帶來嚴(yán)重的干擾。如果員工在沒有被監(jiān)督的情況下接觸到了OT系統(tǒng)并做了錯(cuò)誤操作,之前因?yàn)楦鞑糠窒到y(tǒng)之間是相互隔離的,所以一般不會(huì)發(fā)生問題,但現(xiàn)在一切都是相互連接的,所以問題會(huì)到處傳染,并且在工業(yè)生產(chǎn)過程當(dāng)中,問題會(huì)被愈來愈放大。
由于云技術(shù)的引入,OT環(huán)境不斷地被放大,而且在整個(gè)操作系統(tǒng)當(dāng)中,OT社區(qū)有了更高的意識(shí),更易受到針對(duì)OT的病毒攻擊,比如一些制造廠就受到了惡意勒索病毒的攻擊,這些都激起了大家建設(shè)安全網(wǎng)絡(luò)環(huán)境的意識(shí)。
我們測(cè)試了很多OT系統(tǒng),發(fā)現(xiàn)了很多有意思的事情,不管是在交通領(lǐng)域,還是在制造領(lǐng)域,實(shí)際上有一些基礎(chǔ)網(wǎng)絡(luò)應(yīng)用原則沒有被應(yīng)用到OT系統(tǒng)中。例如,我們?cè)贠T系統(tǒng)里面用的是明文密碼,但這在IT系統(tǒng)當(dāng)中是不可以的。另外,OT系統(tǒng)打補(bǔ)丁是很困難的,在IT系統(tǒng)中我們可以通過下載更新補(bǔ)丁來完善系統(tǒng),因此相較于IT系統(tǒng),OT系統(tǒng)更易遭到惡意軟件的攻擊。
接下來我想要談一談亞太地區(qū)的一些公司和組織是如何應(yīng)對(duì)網(wǎng)絡(luò)安全方面的問題。首先,現(xiàn)在的公司和企業(yè),不再采用基于標(biāo)準(zhǔn)的方法,而是更多地采用基于風(fēng)險(xiǎn)的方法來應(yīng)對(duì)網(wǎng)絡(luò)安全問題。其次,企業(yè)要清楚了解風(fēng)險(xiǎn)的類型和大小,進(jìn)而制定控制、改善風(fēng)險(xiǎn)的措施,如果有更高的安全標(biāo)準(zhǔn)作為基準(zhǔn),那么我們要盡量去符合它。實(shí)際上我們最終的目標(biāo)不是一味地去滿足高標(biāo)準(zhǔn),而是減少風(fēng)險(xiǎn)發(fā)生的概率,所以我們要了解我們暴露在什么樣的威脅下,我們要知道競(jìng)爭(zhēng)對(duì)手是什么樣的。
我們要以長遠(yuǎn)的眼光看待未來網(wǎng)絡(luò)安全的情景,要讓管理層認(rèn)識(shí)到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)對(duì)制造業(yè)的影響,引發(fā)重視,讓網(wǎng)絡(luò)安全置于企業(yè)管理層的中心位置,提前規(guī)劃和組織安全防護(hù)的系統(tǒng)框架,未雨綢繆,有效預(yù)防網(wǎng)絡(luò)安全事件的發(fā)生。
我們可以看到,整個(gè)亞太地區(qū)的網(wǎng)絡(luò)安全應(yīng)對(duì)措施在不斷地變化,而且出現(xiàn)了更多以數(shù)據(jù)為中心的方法。以一個(gè)在供應(yīng)鏈領(lǐng)域的網(wǎng)絡(luò)安全問題為例,在交換數(shù)據(jù)的過程中,我們要明確我們是和誰在分享數(shù)據(jù),要清楚了解和我們分享數(shù)據(jù)的網(wǎng)絡(luò)的安全成熟性是否符合安全要求。如果我們花了很多錢保護(hù)數(shù)據(jù),結(jié)果卻把數(shù)據(jù)傳輸給了一個(gè)安全性很差的網(wǎng)絡(luò),這樣之前的安全防護(hù)工作不就功虧一簣了嗎?所以整個(gè)供應(yīng)鏈都要建立起網(wǎng)絡(luò)防范機(jī)制。
現(xiàn)在的一些網(wǎng)絡(luò)安全計(jì)劃、隱私計(jì)劃、數(shù)據(jù)管理計(jì)劃相互融合改進(jìn),實(shí)際上是為了更好地保障數(shù)據(jù)安全。就獲取數(shù)據(jù)的方式上,我們有以下兩個(gè)方面的措施:一方面可以根據(jù)不同的用戶場(chǎng)景來設(shè)計(jì)不同的數(shù)據(jù)獲取方式,另一方面可以規(guī)定不同的部門采用不同的方式獲取數(shù)據(jù)以規(guī)避風(fēng)險(xiǎn)。
網(wǎng)絡(luò)安全中心如果使用一些自動(dòng)化的預(yù)警機(jī)制,就可以有效地調(diào)整工作流程,來降低風(fēng)險(xiǎn)發(fā)生的概率,所以自動(dòng)化在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮著越來越重要的作用。安永要做的工作就是通過自動(dòng)化技術(shù)來幫助企業(yè)將第一代網(wǎng)絡(luò)安全能力升級(jí)。
企業(yè)最感興趣的還是信任,信任是進(jìn)行任何商業(yè)行為所需的貨幣。網(wǎng)絡(luò)安全可以幫助企業(yè)與利益相關(guān)方建立信任?,F(xiàn)在網(wǎng)絡(luò)風(fēng)險(xiǎn)管理成為了產(chǎn)品決策和業(yè)務(wù)決策過程中不可或缺的一部分。我們要建立全新的安全基礎(chǔ)設(shè)施,就要了解有哪些實(shí)時(shí)的風(fēng)險(xiǎn),而對(duì)于企業(yè)來說,只有以透明公開的方式來做網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)控制,才能贏得利益相關(guān)方的信任。
最后,管理層和董事會(huì)應(yīng)該進(jìn)一步了解并重視網(wǎng)絡(luò)安全領(lǐng)域。我們要做的是針對(duì)網(wǎng)絡(luò)事件進(jìn)行正確應(yīng)答,同時(shí)針對(duì)數(shù)據(jù)采用安全的訪問方式,而不是阻止外部對(duì)數(shù)據(jù)的訪問。我們應(yīng)該明確的一點(diǎn)是企業(yè)的整體都應(yīng)該對(duì)網(wǎng)絡(luò)安全負(fù)責(zé),而不是某一部分人。
我講述的內(nèi)容總結(jié)起來有以下四個(gè)關(guān)鍵點(diǎn):一是互聯(lián)互通驅(qū)動(dòng)技術(shù)的顛覆,會(huì)改變很多應(yīng)用場(chǎng)景;二是我們要采取基于風(fēng)險(xiǎn)的方法來應(yīng)對(duì)網(wǎng)絡(luò)安全,而不是基于標(biāo)準(zhǔn)的方法;三是網(wǎng)絡(luò)安全是企業(yè)立足的支柱之一,能夠構(gòu)筑企業(yè)信任;四是董事會(huì)和高管面對(duì)不斷新生的機(jī)遇,要正確看待問題,聚焦正確的活動(dòng),實(shí)施正確的措施。
(根據(jù)演講內(nèi)容整理,未經(jīng)本人審核)