当前位置: www.89677.com > 互联网 > 正文

www.89677.com多数OT部门已遭遇破坏性网络攻击,基

时间:2019-11-04 23:20来源:互联网
原标题:网络风险=业务风险 “基于业务的CISO”时代正在到来! 尽管企业网络安全预算持续增长,有关数百万消费者数据泄露的新闻依然层出不穷。据Gartner称,预计2019年全球企业将在

原标题:网络风险=业务风险 “基于业务的CISO”时代正在到来!

尽管企业网络安全预算持续增长,有关数百万消费者数据泄露的新闻依然层出不穷。据Gartner称,预计2019年全球企业将在信息安全技术上花费1240亿美元,同比增长8.7%。

网络安全公司Tenable联合波耐蒙研究所发布调查报告,称大部分公司企业的运营技术基础设施在过去两年间至少遭遇过一次破坏性网络攻击。

票选好银行:由新浪网主办的“2015银行业发展论坛”定于7月9日在京举行。作为年度盛会的重头戏,“第三届银行综合评选”正火热进行中,欢迎投票![参会报名]

数据泄露、勒索软件以及其他类型的网络攻击行为,已经为全球各地的企业造成了不可估量的损害,例如,无法挽回的声誉损失(如Equifax)、收并购价格的大幅缩水(如雅虎)亦或是全球范围内的业务中断(如NotPetya勒索软件受害者)等。

但据McAfee称,网络攻击者正在适应更加复杂的网络防御机制,网络犯罪的全球成本预计将会增加,现在每年约为6000亿美元 。

www.89677.com 1

  证券时报记者 曾福斌

www.89677.com 2

转向知识型投资

调查对象涵盖美国、英国、德国、澳大利亚、墨西哥和日本的700多位IT安全决策者,涉及能源与公共设施、工业与制造业、医药行业和交通运输业。

  面对国外发展迅速的网络安全责任险,国内市场亦开始跃跃欲试。据达信(北京)保险经纪有限公司高级副总裁黄翀透露,目前国内在保监会备案的从事网络安全责任险产品开发的只有苏黎世保险、安联财险和美亚保险,均是外资保险公司,没有中资保险公司从事相关产品开发。

不过好消息是,日益严峻的威胁场景也顺利地将网络安全问题从服务器机房推到了董事会的关注议程中。

网络攻击对运营连续性和财务状况会造成巨大的风险,许多司法管辖区的监管机构和行政实体需要从董事会层面开始实施和监督网络安全。为了更有成效,还应在企业层面实施网络风险管理战略,并在缓释风险、风险转移和复原规划方面给予必要的投资支持。

报告显示,90%的受访者承认在过去两年间至少遭遇过一次破坏性网络攻击,接近2/3的受访者遭遇过至少两次。这些统计数据包含了对IT系统的攻击。因为攻击者可能通过IT系统侵入OT系统中,所以对IT系统的防护依然非常重要。

  事实上,国内网络安全责任险发展面临诸多挑战,如保险公司对IT技术的专业性、网络隐私信息泄露的法律责任等等,这将导致相关产品在保险费率厘定上的差异。

此外,为了进一步推动企业对网络安全问题的关注,监管机构也正在积极推动网络安全议程,并对未及时修复安全漏洞和未能保护客户数据的企业采取更为严厉和强硬的态度。例如,根据欧盟《通用数据保护条例》(GDPR)规定,公司必须在72小时内向当局报告任何违反个人数据的行为,如果未能遵守,将面临高达2000万欧元或 4%年营业额的罚款(取较高者)。

对于企业来说,重要的第一步是根据其对财务和运营连续性的潜在经济影响来量化网络风险。这样就可以据此做出明智的决策和健全的网络风险投资策略,并以此衡量缓释风险带来的回报。然而根据达信网上进行的民意调查显示,许多企业尚未量化他们的网络风险。

半数受访者称其OT基础设施经历过导致工厂和运营设备宕机的攻击。很多公司企业还承认因网络攻击而遭遇了严重的业务中断和宕机。

  网络安全责任险

可以这样说,如今,网络安全风险已经等同于整个企业业务风险。一旦企业遭受网络攻击,必然会对其整体业务造成无可估量的影响,不仅业务能否正常开展成为问题,还要为此承受沉重的经济损失(包括罚款、事件响应及修复成本、业务中断损失、客户补偿等等)。

技术投资是必要的,但还远远不够

而且,近1/4的受访者认为自身被民族国家黑客盯上了。

  市场潜力巨大

对于首席信息安全官和其他网络安全专业人员来说,网络安全问题成功升级至董事会议程,也可以帮助他们在董事会和C级高管会议中获取一定的话语权,并获得他们想要的资源和支持。不过,对于那些尚未做好准备的信息安全专业人士而言,董事会对网络安全问题的重视将为他们造成不少的负担。试想一下,作为信息安全专业人士的你,现在已经成功取得了公司高层的关注,但是,你能有效地与他们进行沟通吗?你有能力成为一名“业务一致型”(business-aligned)的首席信息安全官吗?

尽管网络安全支出不断增加,但仅靠技术投资是不够的。虽然缓释风险很重要,但是不存在能保证消除网络风险的灵丹妙药。人为错误通常被认为是导致网络事件的最常见和最有影响力的因素,它可能是事件的根本原因,例如,未能实施良好的密码维护;也可能是攻击响应处理不当造成了更大的财务损失。

www.89677.com 3

  2013年美国零售巨头Target数据泄漏事件后,网络和数据安全保险在美国迅速发展。达信9日发布报告称,2014年达信美国客户购买单独网络风险保险的数量比2013年增长了32%。这一增长趋势预计在2015年将会延续。2014年,美国医疗卫生和教育行业客户的网络风险保险投保率最高,分别为50%和32%,酒店与博彩业以及服务业客户紧随其后。

现在,让我们站在企业C级高管和董事会的角度来思考这个问题,看看网络风险对于他们究竟意味着什么:

这意味着企业必须制定网络风险管理策略,其中包括定期更新的事故响应计划,以及持续的技术升级和培训。此外,还应辅以有效的保险计划,根据网络事件可能造成的财务影响,为企业提供适当的保险。

量化网络风险时,OT系统宕机是首要因素,49%的受访者都将之列入网络风险要素当中。其他网络风险评估要素包括:未修复的漏洞、知识产权盗窃、员工生产力损失,以及经济损失。

  报告称,美国2014年各个行业所购买的网络风险保险限额比2013年均有所增加, 而收入超过10亿美元的公司所购买的网络风险保险限额平均达3410万美元,比2013年的2780万美元增加了22%。在这些大型公司中,金融机构购买的平均限额居于首位,电力及公用事业公司以及通讯、媒体和高科技公司紧随其后。

首先,他们认为网络风险只是开展业务的另一项成本,而且他们正在关注许多企业正在面临的网络风险。网络安全并不是一个特殊的“臭鼬工厂”(SkunkWorks,借指担任秘密研究计划的地方)。当然,它是一个需要大量技术专长的领域,但运营、财务以及其他业务部门也是如此。

虽然大多数网络保险条款包含一系列的基本承保范围,但应根据企业独特的风险状况,考虑以下因素:

公司企业最为担忧的是:第三方共享和凭证信息误用、对IT和OT资产的攻击,以及可造成宕机的OT系统攻击。担忧程度最低的是:民族国家攻击、勒索软件,以及未遵从隐私与数据保护要求而导致的罚款或法律诉讼。

  黄翀称,目前网络安全责任险在美国的渗透率是最高的,但是国际业务做得最好的是在英国伦敦。

其次,他们习惯将风险呈现为金钱概念的“损失风险”。无论是市场风险、信用风险还是企业风险管理的其他组成部分,其他业务部门都能将这些风险可能造成的损失换算成一连串美元金额。通过这些数字,决策者可以设定“风险偏好”,即自己能够承受的“损失风险”程度,并通过一系列举措来控制这些“损失数字”,例如投入更多控制措施,购买保险等等。

•对技术的使用和依赖程度。

受访者称,2019年与治理相关的首要重点是增强与首席级高管和董事会的沟通,其次是确保第三方能够保护敏感和机密数据,再次是增加员工网络安全培训,以及为有问题的管理分配更多资源 。

  而对于国内市场,网络安全责任险目前基本是一块处女地。

现在,再让我们站在信息安全团队的角度来看这个问题,得到的观点可能会完全不同。

•与第三方的合作和义务。

至于今年的安全重点,2/3的受访者都提到要增强自身紧跟对手的能力。半数受访者还希望能够减少OT基础设施遭攻击的风险,改善数据安全,降低IT安全复杂度。

  近日,安联财险宣布在国内首次推出网络安全险和声誉险,成为针对内地客户的第一款网络安全责任险。

事实上,信息安全专业人员的观点通常是“以IT为中心”而非“以业务为导向”的观点。在他们看来,网络安全风险可以通过成熟度评级来完成:例如,与IT行业最佳实践清单进行对比——假设“达标”的条件越多便意味着风险越低;或是与IT行业其他人在安全方面的花费进行对比——假设花费更多的便意味着风险更低。一些风险评级甚至可能基于信息风险团队的直觉/经验——这些评级通常被标记为“中等”、“高/低危”,或是被称为“补丁”、“漏洞”或IT以外的人所不理解的其他术语。

•如何收集、处理、存储和传输其收集的个人和机密信息。

漏洞管理依然是很多公司企业面临的一大问题。报告显示,仅20%的受访者认为自身拥有充足的攻击界面可见性,超过半数的受访者承认人工过程导致了响应滞后,使公司在防御上处于不利地位。

  值得一提的是,5月28日,携程服务器遭到不明攻击,导致官方网站及APP无法正常使用,网站和APP中断约12小时后恢复。而在此前,京东、亚马逊[微博]、汉庭、如家、12306、网易、支付宝[微博]等都曾出现过网络安全事故,事故原因各不相同:黑客攻击的、系统漏洞的、光纤挖断的、员工错误的等等。

很显然,这些专业性过强的评级,都不是与高级管理层或董事会进行有效沟通的合适工具,因为他们没有按照其他业务部门能够理解的方式来谈论风险。

无形资产更易受到网络攻击,企业应持续增加对无形资产的投资。而且由于这些无形资产在公司资产负债表中所占的比例越来越大,它们如果被破坏或盗窃,则更具有经济破坏性。因此,企业管理者有责任将网络威胁视为开展业务的风险,并同时了解可以通过风险缓释、风险转移和复原规划的联合策略来有效管理网络风险。正如安装建筑自动喷水装置不能取代财产险一样,网络安全技术不应取代网络保险,而应成为网络保险的伙伴。

  事实上,随着网络攻击的频率和强度不断加剧,网络威胁的范围不断扩大,也会有越来越多的商业团体和公共事业单位寻求保险来保障由数据泄露和营业中断带来的财务损失。

一些网络安全专家仍然坚持,从财务角度来衡量网络风险是不可能的。但目前,这种坚硬的态度正在日渐消退。最近,全球分析公司Gartner就将“风险量化”列为其“运营综合网络风险管理计划的5大必备条件”之一

www.89677.com 4

  黄翀认为,对网络安全责任险需求最大的主要集中在营收网络占比高、智能化高的行业,如电商、航空、酒店、医院等行业。

衡量和量化风险的一种方法就是使用标准的信息风险因子分析(Factor Analysis of Information Risk,简称FAIR)模型,该模型主要以财务术语来评估信息风险。这种方法可以通过从公司和行业来源收集有关网络安全事件的数据,然后将不同类型的风险呈现为相应的财务价值;同时,它也可以通过Monte Carlo模拟引擎运行数据,再以财务形式生成损失风险值。

Paula Miller

  网络安全责任险

就信息风险因子分析(FAIR)模型而言,风险是未来损失的可能程度和可能频率。等式的两边(即程度和频率)都很重要。高程度且低频率的可能是低风险;高频率且低程度的可能会是高风险。

高级副总裁

  发展仍需完善

想要将业务与损失风险条款中的网络风险保持一致的话,您需要采取下述一些步骤。

达信财务及专业责任风险部网络中心

  在国际上网络安全责任险也是个新鲜事物,其发展还有许多需要完善的地方。

1. 了解业务的最大收益在哪里,以及它是如何创造出最大价值的;进而了解在网络攻击事件中遭受财务影响最严重的地方是哪里。

  达信报告就指出,2014年美国网络风险保险的费率起伏不定,原因是损失频率和严重性不断加剧,不时传出网络攻击和营业中断的新闻报道。不断增多的损失活动让一些被保险人,尤其是零售商不得不面临价格挑战,续保费率平均上涨了5%,最高涨幅甚至达10%。

通常来说,电子商务的业务中断,计划、设计或其他知识产权被盗、从数据库中泄露机密的客户信息,这些都会导致销售损失、市场份额损失、法律费用、劳动力成本等等。事实上,只需通过询问您的财务、人力资源、法律或运营部门,或是通过行业报告进行扩充,这些损失都是可以量化的。

  报告同时指出,2015年,网络风险管理将成为各个公司的首要问题。技术故障和网络攻击也会造成严重的营业中断,使得二次系统、客户、甚至是供应商受到影响。另外被保险人也可能面临着更加严格的尽职调查,保险公司会对公司的一般性信息安全政策进行更深入的挖掘。报告还预计,随着日益严苛的监管和不断增多的诉讼案件受到关注,未来公司监管将更加严格。

2. 了解造成损失的可能性网络事件的类型和发生频率。

  国内网络安全责任险需要发展的同时也面临着一些挑战。

您的安全运营中心(SOC)或记录网络故障的部门将帮助您了解这些历史网络攻击事件发生的事件和地点。将这些信息与威胁情报供应商和行业报告(如Verizon数据泄露调查报告)相结合,将为您的企业提供有关未来网络攻击的相关预测和建议。返回搜狐,查看更多

  因为IT技术是一个非常专业的东西,国内的百度[微博]、阿里、腾讯等巨头因为本身技术的顶级性、成熟性,而保险公司IT技术远不如它们专业,这也是保险公司在开发、销售有关产品时的重大挑战。

责任编辑:

  此外,目前国内隐私保护的法律制度并不完善,因为没有《个人信息保护法》和集体诉讼制度,对于恶意侵入系统或盗取信息的法律责任,基本上是产生损失后再索赔求偿,这也是相关产品开发时需要考虑的。

  黄翀表示,实际上因国内法制的不健全,保险公司在开发相关产品时,其费率制定将优先考虑网络攻击后造成的经营中断损失,数据资产损失及第三方损失,最后考虑侵犯隐私、机密和安全责任。而在国外,因为侵犯隐私、机密和安全的法律责任大,在网络安全责任险的费率制定时是需要重点考虑的。

编辑:互联网 本文来源:www.89677.com多数OT部门已遭遇破坏性网络攻击,基

关键词: