“對於技術方案的認知匱乏以及相關風險處理能力低下——特別是網路風險或者關鍵性資訊基礎設施破壞所帶來的系統性級聯效應——可能會給國家經濟、各經濟組織乃至全球企業帶來深遠的影響。”——世界經濟論壇《2016年全球風險報告》
世界經濟論壇(簡稱WEF)於2016年1月14日,也就是剛剛開幕的著名達沃斯會議的前一週,釋出了《2016年全球風險報告》。以下內容援引自該報告當中與網路風險與網路恢復能力相關的主要研究成果。
網路風險仍是一項高關注度任務
這份報告提供了一系列證據,表明網路風險仍是目前全球範圍內企業領導者們最為關注的任務之一。這些證據不僅證明網路相關風險所涉及國家數量之巨,同時也可以通過報告中的具體措辭瞭解到網路風險的現實狀況:“網際網路已經開啟一片新的戰爭領域:與網路對接乃至相關的一切皆能夠被突破。”
這份報告的重要結論之一在於,對美國市場而言,網路攻擊風險已經被列為頭等威脅。在附帶的新聞稿當中,世界經濟論壇表示目前已經有至少七個國家將網路攻擊視為企業領導者最為關注的頂級威脅,其中包括日本、德國、瑞士與新加坡。
網路攻擊同時也被另外27個世界經濟體列為關注風險型別清單中的前五名。不過從全球風險的角度來看,網路攻擊並沒能入選前五——低於2012年的第四位與2014年的第五位。
這份報告同時指出,對於網路的愈發高企的依賴性本身也成為一項潛在的未來風險:“相關事故在發生頻率與規模方面一直不斷增長。截至目前,網路攻擊活動仍然主要涉及單一業務實體或者國家,但隨著物聯網所帶來的人與機器之間更為緊密的聯絡,網路依賴關係——受訪者們普遍認為其已經成為第三大全球性趨勢——將進一步增強,而網路攻擊機率提升亦與整個網路生態系統存在著潛在連鎖效應。這意味著單一實體所面臨之風險越來越多地同其它實體關聯起來。”
IT之重要性愈發突出
這份報告同時提醒稱,儘管各企業已經意識到IT所能夠帶來的可觀價值,但它們“可能還沒有充分應對網路安全風險,同時利用適當的投資水平提升自身運營風險管理能力並加強組織應變水平。”其進一步警告稱,“未來的每一項衝突都將包含有網路元素,而且其中一部分甚至有可能給網路領域帶來全面打擊。”
這些可怕的前景無疑將給網路安全管理者帶來巨大壓力。“考慮到在網路層面攻擊活動的實現難度要遠低於防禦工作,因此這將顯著改變整個安全體系應對潛在違規行為的方式。物理距離已經無法提供足夠的保護,大量技術存在兩面性,很多重要的基礎設施為私有資產,而難於追蹤的特性也讓我們很難掌握攻擊活動的來源。”新朋友請關注「E安全」微信搜公眾號EAQapp
最後,報告批評了各企業當中圍繞網路風險建立的現有歸屬與協作狀態。“儘管CEO們對於網路風險的提升表示擔憂,但網路風險責任的實際歸屬仍然比較模糊,”這份報告指出。“企業中的哪些成員應當作為風險的擁有者?儘管目前已經存在大量C級風險管轄者(包括CISO、CFO、CEO、CRO、風險管理),而每位管轄者的定位亦有所不同,但他們往往並不瞭解風險本身或者未能在管理層面進行有效合作。因此,針對網路風險做出明確的角色與職責劃分將非常重要。”
世界經濟論壇要求各企業積極參與
早在2012年,世界經濟論壇就已經發起了一項倡議,旨在推動企業領導者認真審視並參與到網路恢復工作當中。在其釋出的《攜手實現網路彈性》檔案當中,世界經濟論壇將網路彈性定義為“系統及企業抵禦網路事件的能力,具體水平由平均故障時間與平均恢復時間綜合計算得出。”
這份檔案還包含了與網路彈性相關的五級成熟度模型。各企業會根據其應對網路風險的實際方式被歸劃為以下類別之一:
1、無意識
2、碎片化
3、自上而下
4、普及
5、網路化
世界經濟論壇要求各位企業高管採取四項關鍵性舉措以應對網路風險,而其具體內容被髮布在其題為《超連線時代下的風險與責任:通往全球網路彈性之路》的文章當中。這四項原則性舉措包括:
1.依賴性意識:有關各方都應在推進彈性共享式數字化空間方面發揮自己的作用。
2.領導角色:鼓勵企業高管人員關注並統領網路風險管理事務。
3.綜合性風險管理:開發出一套切實有效的實施方案。
4.促進推廣:在適當情況下,鼓勵供應商與客戶擁有相近的網路風險意識與保障水平。
總體來講,《2016年全球風險報告》向企業領導者們提出了一項明確的警告,要求他們積極對網路風險管理與治理做出努力,並儘快著手解決企業網路彈性需求——這將密切關注到企業自身的資產安全與商業聲譽。
自 e安全