如果有人对信息和网络安全从业者在当今社会福利中所扮演的至关重要的角色有任何疑问的话,有新的证据以直白、引人注目的措辞阐明了这一点。
在最新一期的世界经济论坛全球风险报告中,数据欺诈/盗窃和大规模网络攻击都被列为全球五大威胁。名单上的其他因素包括:极端天气事件、减缓气候变化的失败以及重大自然事件,如地震和海啸。
想想看:如今,保护数据和挫败网络攻击,与应对自然灾害一样,已上升为需要全世界充分关注的最紧迫威胁。
在某些方面,我们面临的网络安全危险与其他自然发生的灾害相似,这些灾害占据了全球威胁风险的首位。就像一个城市或村庄会显得非常平静的一天,只是被一个暴风雨或分开下激烈地震,今天太多的组织产生一种虚假的安全感,专注于一切照旧,然后措手不及的一个主要的网络事件,导致业务剧变,他们可能永远不会完全恢复。但与造成如此巨大破坏的大多数自然灾害不同的是,人类有能力避免我们的数字世界遭受攻击所带来的许多痛苦。这是安全界必须致力于在全球范围内解决的一项挑战。
在此背景下,2019年世界经济论坛(world Economic Forum)各国领导人齐聚达沃斯,围绕网络安全及其在全球数字经济中日益重要的地位展开了广泛讨论,这令人鼓舞。正如微软(Microsoft)总裁兼首席法律官布拉德?史密斯(Brad Smith)在达沃斯的一次小组讨论中所说,“一切都是为了维护世界安全。世界依赖于数字基础设施,人们依赖于他们的数字设备,我们发现这些数字设备每天都在遭受攻击。”
网络安全是数字经济的基本推动者,保护组织资产,促进业务连续性,捍卫品牌,潜在地提供竞争优势,并管理整体债务和风险。由于组织未能采取足够的行动保护自己和客户免受网络威胁,监管机构不得不加大介入力度。2018年,欧盟(EU)《全面数据保护条例》(General Data Protection Regulation,简称GDPR)的实施,以及美国和其他地方正在制定的类似政策得到了实施;史密斯预计,美国将在未来一两年颁布一部大规模的联邦隐私法。
尽管新的监管规定和国家网络安全战略的制定可能有所帮助,但单靠一两个孤立的步骤是无法保证我们的安全的。网络安全需要一种综合的方法,考虑到人、过程、技术、组织结构、业务策略,并处理整个业务生态系统。目前,整个业务生态系统是通过许多参与者的交互构建的。这些参与者越来越多地跨越国际边界开展工作,这意味着国际领导人之间的对话越实质性,比如在达沃斯举行的对话,就越有机会进行有意义的合作,从而推动达成真正的解决方案。这种对话必须继续进行,包括公营和私营部门,以及学术界和工业界的专业协会。
未来几年,这些挑战只会加剧。网络威胁格局的演变不容忽视,尤其是随着新技术的迅速扩散和商业模式的相应变化。事实上,只有40%的受访者ISACA 2018数字转换的气压计有信心在他们的组织的能力来评估系统的安全性基于人工智能和机器学习表明在未来几年的挑战只会升级为人工智能和其他快速发展的技术部署更频繁。全球公共和私营部门还远远没有为这一现实做好准备。特别是,在认识到有必要采取基于风险的方法来了解组织的网络安全防范,以及为安全团队的培训资源进行适当的优先排序和投资方面,还有许多工作要做。
世界经济论坛(WEF)网络安全中心主任特里尔斯?奥尔廷?乔根森(Troels Oerting Jorgensen)在会上发表了一篇较为有趣的评论。这是一个很好的方式来看待它,但比希望更好的是信心,信心必须通过准备来赢得。尽管网络安全在全球头号威胁中显得如此突出,令所有安全专业人士都感到不安,但至少在挑战的程度上没有任何含糊之处。虽然人类对海啸或长期干旱所能做的只有这么多,但网络安全是一个以人为本的挑战,我们的集体智慧和决心可以在很大程度上解决这个问题。
注:作者Chris K. Dimitriadis 编译:牧荑