作者:(美)詹姆斯M.卡普兰(JamesM.Kaplan)
出版社:机械工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
麦肯锡的数字业务安全策略试读:
前言
未来10年,世界经济的发展进步依赖于数字化创造的数十万亿美元的价值。组织机构已经从拥有小规模自动化的系统,发展成为充分利用无处不在的网络连接、海量分析、低成本、高扩展性的技术平台。技术进步显著增加了不同级别客户的亲密度、业务操作的灵活度及决策者的洞察力。在银行业,这意味着几分钟内即可成功开户、批准按揭,而非几天甚至数周。在保险业,这意味着在大量分析数据的支持下,有更好的保险核保及更公平的价格。在航空及酒店领域,这意味着更高的透明度,为旅客减少一些麻烦。
当“一切都是数字化”时,私营、公共及民间机构就越来越依赖信息系统。当今世界是一个超级关联的世界,在线和移动业务增加了企业的安全脆弱性,企业更容易受到富有经验的网络罪犯、政治激进黑客甚至内部员工的攻击。只有当客户及企业在面临越来越强大的网络攻击时,仍对财务记录、患者数据及知识产权的机密性和可用性的安全保持信心,数字化进程才能成功。
要保持经济的持续发展,必须保护组织结构免受网络攻击的影响。在2014年达沃斯世界经济论坛年会上,论坛组织者与麦肯锡机构联合提出,要提升网络安全在高管中的关注度。我们一致认为,有两方面的关注度至关重要:一是要充分认识到企业遭受网络攻击后的战略影响和经济影响,另一种是要制定企业获得数字化适应力的规划,即规划整个网络安全生态系统中所有参与者应该怎么做,特别注重如何将网络安全作为一个商业问题而非技术问题来解决。
经过采访、调查以及参加由数百个组织机构高管参加的工作会议,我们发现了以下几个问题:
第一,如果组织机构在保护自己的方式以及外部支持方面没有巨大变化,网络攻击风险将降低人们对数字经济的信任和信心,到2020年,数字经济所能创造的价值将降低3万亿美元。为应对此问题,全球的组织机构需要提升数字化适应力,只有这样,才能从超级关联的世界中获取价值,即使是冒着业务中断、知识产权(IP)流失、声誉损失、网络欺诈等风险。
第二,虽然各公司都一致认识到提升数字化适应力要采取的措施,但并没有尽快落实到位。要提升数字化适应力,公司应将网络安全深度整合到现有业务流程及信息技术(IT)环境中。然而目前大多数公司仍将网络安全视为一种控制功能(control function),这不仅导致保护信息资产的安全需求与数字化进程之间产生冲突,而且还与从技术投资中获取价值的需求发生冲突。即使是最大型、资金最充裕的机构,其网络安全项目也设计得相对落后,它们仅从技术控制入手,而不是控制商业风险,因而没能推动更广泛的组织机构层面和业务流程产生必要的变化。
第三,公司若要提升数字化适应力,需要增强网络安全团队与业务团队之间的协作,让企业IT部门更加注重适应性,大幅提升网络安全功能的技能与水平,唯有首席执行官及高级管理层才能推动如此大规模的变革。
除了公司自身,其他组织结构都不可能解救公司于网络攻击,但是监管者、执法机关、国防及安全部门、技术供应商及行业协会等机构能够在一个数字生态系统中起到重要作用,可显著提升公司的数字化适应力。目前人们对公司如何保护自身安全有很多一致性看法和对策,但对于如何建设更广泛的数字生态系统,一致性意见较少。此时公共、私营、非营利机构等之间的相互协作将变得至关重要。
建立数字化适应力的前提
在考虑数字化适应力之前,首先要理解网络攻击与网络安全,以及它们与数字生态系统的关系。
网络攻击:面临的多种业务风险
在数字化特征越来越明显的经济社会中,世界上大部分组织机构都依赖着“信息资产”,这些信息资产,有些是结构化数据,有些是非结构化数据,例如客户数据、知识产权、商业计划,以及从客户服务到供应商付款的在线流程。针对这些信息资产的网络攻击,有些是出于攻击者个人炫耀的目的,有些是为了经济利益,而有些则是出于国家政治利益。一般普通老百姓主要关注知识产权侵犯、信用卡数据窃取等信息,但对企业来说,需要考虑更多的潜在风险(见表0-1)。表0-1 企业面临的网络安全风险
网络安全:公司如何保护自己
虽然企业面临着经营目标、资源限制、合规性要求等压力,但网1络安全仍然是组织机构避免受到网络攻击而应采取的一项业务功能。它包含三个方面:风险管理功能、影响功能及交付(delivery)功能。
首先,网络安全本质上是风险管理,因为没有办法阻止所有网络攻击的发生。正如一位首席信息安全官(CISO)所说:“我的工作不是降低风险,而是让企业能够明智地接受一些风险。”
如果公司打算采用新的客户移动服务平台,就要承担相应的风险。因为新型移动平台给攻击者获取公司数据提供了新途径。但如果公司希望这个平台能提高每个客户的平均收入,那么作为风险管理者,就需要帮助企业领导权衡网络安全风险。CISO应回答以下问题:
·采用新型移动平台将带来哪些安全风险,业务经营收益是否能说明安全风险是可接受的。
·在设计平台时,如何既保证平台业务数据丢失风险降到最低,又保证良好的客户体验(进而产生好的业务影响)。
其次,网络安全工作具有影响作用。CISO和企业领导共同商讨企业安全风险与投资回报之间的关系后,企业各个部门再采取相应的执行措施:采购团队就安全需求进行谈判并写入合同;管理者必须限制机密文件的分发范围;开发人员要设计安全的应用软件,编写安全的代码。网络安全工作必然涉及大量的利益相关者,其中有些工作需要按照法律法规开展,有些工作则需要采取更为贴合的、更有效果的措施。
最后,网络安全具有交付作用,包括管理防火墙、入侵检测、恶意软件检测、身份管理和准入管理等技术,也要管理一些保护信息资产和在线流程安全的行为,如采集和分析威胁情报、取证分析。
业务功能的网络安全不同于组织机构功能的网络安全。一家公司可能将所有或大部分风险管理、影响及交付活动整合到单一的网络安全团队或分布到几个组织机构里。
数字生态系统:公司不能仅靠一己之力保护自己
组织机构首先要保证自己安全,才能为庞大的数字生态系统提供安全保护(见图0-1)。数字生态系统包括:
·企业客户:企业客户连接到企业网络中处理业务增加了便利性,但也增加了企业的安全风险。攻击者可能会利用客户的IT环境作为入侵企业网络的途径。同时,企业客户也会担心企业是如何保护自己的数据的。这两种情况对企业安全保护能力提出了更高的要求。
·零售客户:相对于企业客户,普通消费者对网络风险没有那么敏感,不过,企业保护数据的方式可能已经影响他们的购买决定了。
·企业供应商:某种情况下,律师事务所、会计师事务所、银行、业务流程外包服务商等供应商将会掌握公司最敏感的数据。考虑到公司网络的互联性,供应商网络也可能成为攻击入口点。图0-1 公司面临广泛的网络安全风险
·技术供应商:供应商既能提供风险控制,但同时也是风险引入源。我们购买的任何技术都可能有安全缺陷,出现让攻击者有机可乘的弱点。技术供应商可提供能让公司降低风险的商品和服务,通过消除漏洞、分析网络攻击等方式降低风险,保护企业的技术环境。
·政府部门:公共部门在影响网络安全环境中扮演着多重角色,包括调查攻击、起诉攻击者、规范私营公司,有时要求企业采取特别保护措施,批准企业网络安全策略。它们也调整法律、开展安全研究、分享情报或传播安全技术。
·民间团体:从行业协会到标准制定机构和倡议组织,有大量民间团体参与到数字生态系统中。
·保险公司:网络保险尚处于早期阶段,但即使在今天,有些保险公司为了换取保险费,愿意承接企业的网络攻击风险。
什么是数字化适应力
高管们有时会问首席信息官(CIO)和首席信息安全官(CISO),网络安全何时会得到解决、网络攻击的风险何时能远去、何时能不再为此担心。有时,他们会将这些与民航业务类比。在喷气机时代,会发生一些可怕的事故,现在,航空公司非常注重安全,搭乘出租车前往机场却成为飞机旅行最危险的一个环节。
或许拿开车来比喻网络安全更合适。比起民航出行风险,开车是更多人利用更多车辆从事更为广泛的活动,风险更大。我们可以通过[1]提高最低驾车年龄至30岁、限制最高时速25英里,把机动车事故降至几乎为零,然而如果这样做,这种个人出行交通方式就遭到毁灭性打击。
如果一位银行业CEO不用担心市场风险和信用风险,他就绝不会询问有关事情。但他明白他所在的机构是通过接受这些风险来换取有经济收益的业务的,因此,他的业务需要了解市场风险、信用风险以及其他风险,并在有潜在收益的情况下,适当地管理这些风险。
考虑到当前社会数字化程度越来越高,科技创新速度加快,攻击者可能超出执法机关的控制等情况,我们不能期望很快消除网络攻击对世界经济的影响。不过,企业和全球经济体可寄希望于达到数字化适应力的状态,包括:
·应了解网络攻击的风险,并且能做出恰当的商业决策。通过经济收益证明,不断递增的风险是可以接受的。
·应坚信网络攻击风险是可以控制的,网络攻击风险不会将公司置于风险高位。
·消费者与企业应对在线业务有信心——信息资产面临的风险及在线欺诈风险并不会阻碍电子商务的发展。
·网络攻击风险不会阻碍公司的技术创新步伐。
在这样的背景下,世界经济论坛和麦肯锡咨询公司已经开展合作,了解如何帮助企业与国家都达到自己的安全期望。
背景与方法
自2011年以来,“超级互联世界中的风险与责任”成为世界经济论坛的一个议题。2012年年中,该论坛又与近百家公司合作签署了《网络适应力标准》。标准中要求各参与公司承担起义务,要认识到自己在促进弹性数字经济中能够发挥的作用,并制订实用、有效的实施计划。该标准也鼓励高级管理层增强风险意识,提高对网络风险的管理能力,并且在适当的情况下,促使供应商和客户对弹性数字经济2具有同样的认识。
2014年达沃斯世界经济论坛中,麦肯锡受邀对论坛高层管理人员进行辅导,以提升应对网络攻击、网络安全及行业数字化适应力的管理水平,行业不仅局限于技术与通信,还包括金融服务、制造业、生活消费品、交通运输、能源及公营部门。
麦肯锡与该论坛共同认为,该项目的最佳成果是形成了一套网络攻击战略定位和经济定位的真实观点,以及一份计划——网络安全生态系统中的所有参与者都应制订如何实现数字化适应力的计划,更重要的是,让高层管理者将网络安全看作一个业务问题,而非技术问题。
我们从2013年晚春开始收集数据,在夏、秋季节构思并验证我们的假设,2014年达沃斯世界经济论坛年会上我们分享了成果。
事实基础
通过采访180多位CIO、CISO、首席技术官(CTO)、首席风险官(CRO)、业务部门主管、监管者、政策制定者、技术供应商,我们获得了生态系统中所有参与者对网络安全整体环境理解的信息。此外,通过对近百个企业技术用户的调查,我们清晰地了解到业务风险、环境威胁及一系列措施的潜在影响。最后,有超过60家世界500强企业参与了针对网络安全风险管理实践的详细调查(见表0-2)。表0-2 我们的研究基于大量调查与研究
不同场景与经济影响
我们从被采访人的观点中发现,在未来5~7年网络安全环境如何变化由20多种因素决定,可以概括为威胁的强度及应急响应的质量这两个宏观类别,未来可能出现三种网络安全场景:对网络安全环境不了解、网络安全环境受到强烈攻击、网络安全环境具有数字适应性。
基于来自采访及调查研究中的信息,我们估计了每个场景将如何影响云计算、移动互联网、物联网等一系列重要科技创新的应用,以及对价值创造的影响程度。
实现数字化适应力的关键措施
在采访及调查研究中,网络安全生态系统中每个参与者已经采取哪些最重要措施,是我们特别关注的,尤为注重公司在自我保护时,在所有业务功能中会采取什么措施。
在定义安全场景、评估经济影响和识别关键措施的时候,我们都会将偶然发现与几十位CIO、CISO、决策者及其他相关高管一起评审。我们会在硅谷、日内瓦及华盛顿等地的工作会上,麦肯锡组织召开的执行官圆桌会议,大连举行的世界经济论坛新领军者年会上进行这些评审工作。
2014年1月26日,我们将自己的研究成果总结发表在一份报告中3,并且,在达沃斯世界经济论坛的召开过程中,我们与80多位高管及决策者在非公开会议中讨论了我们的研究成果。目前,已有证据表明研究成果逐渐达到了预期目标。《CSO杂志》解释,我们估计的3万亿美元经济影响“吸引了每个人的注意,原因在于,这看上去不仅仅是直接损失,还有因企业和个人回避‘数字化’而未能实现的价值创4造值”。
我们展示了研究成果后,麦肯锡及世界经济论坛就开始着手研究要实现数字化适应力需要开展哪些工作。在支持重要机构制定网络安全策略、实施网络安全项目的基础上,麦肯锡进一步帮助企业机构明确应采取的自我保护措施。同时,世界经济论坛举行了数十次有几百家公司参与的工作会议,目的是在网络安全生态系统所有参与者中构建起相互协作支持的关系,达成数字化适应力。[1] 1英里=1609.344米。注释导论
大部分组织机构面临信息资产被盗窃、在线业务流程遭故意破坏等严重的商业风险。如果公司、政府及其他组织机构继续以原有的方式应对这些问题,那么网络攻击的风险会让技术进步的脚步放缓,并在2020年导致高达3万亿美元的经济价值损失。
在更广泛的网络安全生态系统的支持下,为了实现数字化适应力,公司必须让网络安全成为业务及信息技术流程的一部分。
本书主要针对以下三大问题:(1)网络攻击风险有哪些,在未来几年,其影响将如何演变。(2)在技术投资和技术创新中,公司如何实现数字化适应力,如何保护自己不受攻击。(3)企业和公共部门领导该采取怎样的实施步骤来实现数字化适应力目标。
3万亿美元处于危险中
公司正面临着网络攻击。有近八成的技术执行官称,与攻击者日益成熟先进的攻击手段相比,他们的防护相对落后。而攻击者的战略战术正在从国家级扩展到不法分子和黑客组织,他们更具破坏性野心。
公司在开展网络安全防护方面可能花费几千万甚至几亿美元的资金,但制定有效的网络安全决策时仍缺少事实根据和有效的流程。在我们详细调查的60多家组织机构中,有1/3的机构网络安全成熟度仅为“初期”,六成仍处于“发展中”,很少达到“成熟”,没有一家是“稳健”的。很多机构只是看上去在这个问题上投了很多钱,但更多的支出并没有转化为更高的安全成熟性。
为了免受网络攻击,企业公司采取了部分安全控制措施,但已经对商业发展产生了负面影响。例如,由于安全考虑,造成公司的移动功能软件上线时间平均拖延了6个月,进一步延缓了企业使用公共云服务的时间。在将近3/4的企业中,安全控制措施降低了员工分享信息的能力,从而降低了前线生产效率。此外,网络安全直接花费即使较少,间接消耗也很大。一些CIO介绍,他们整体经费支出中安全需求经费占比为20%~30%。
在未来5~7年,网络安全环境会发生很大的变化。然而,相对于防御者,如果攻击者的优势地位持续提升,那么可能会导致网络环境受到攻击,降低数字化发展步伐。在这种情况下,一些相对小型的攻击就会降低公众对经济的信任,导致政府出台新规定、企业机构放慢科技创新的步伐。我们预计到2020年,大数据、移动互联网等科技创新将给世界带来8万亿~18万亿美元的价值,然而,在网络受到攻击的情况下,这个数字将变小。
企业机构、政府及广大社会团体必须争取具有数字化适应力,以实现技术创新的完整价值。这意味着,网络安全必须提上企业议程和政治性议程。
本书第一部分讲述的便是此问题。第1章论证对网络攻击的担忧已然影响企业公司从科技投资中创造价值的能力。第2章展示几种潜在场景,这些场景描述了网络安全环境在未来5~7年将如何演变,更具体地解释我们之所以认为3万亿美元处于危险中的理由。
数字化适应力保护商业、促进创新
对很多企业来说,七八年前网络安全还不是优先考虑的事。即便是大型高端的IT机构,在网络安全防护上投入都相对较少,对技术漏洞可能造成的商业风险缺乏洞察力。以前企业安全防护注重维护网络边界,而IT安全公司主要是负责远程安全维护、部署杀毒软件等工作,违背企业安全策略的管理人员及一线员工很少需要承担后果,不安全的应用代码、不安全的基础设施配置也很普遍。
自那时起,企业开始建设网络安全控制功能。到目前成立了正式的网络安全机构,设置了首席信息安全官(CISO),并给予大量资金投入,开展了多项安全措施,例如锁定台式机和笔记本电脑,以防终端用户不经意间给公司带来漏洞。还引入了体系结构标准,审核软件开发流程以识别和修复新应用程序中的安全漏洞。
将网络安全看作一种安全功能,这非常重要,能大幅降低企业的安全风险。但是,随着网络攻击的持续上升,网络防御变得越来越难(见图0-2)。安全工作一般主要由企业网络安全团队承担,但它们也只能努力阻止过去的攻击。在维护网络安全控制功能时,依赖于人工干预、反复检查,这不利于网络安全工作的大规模开展。在开展安全检查时,企业依赖人工干预就像使用一套落伍的检查程序茫然地检查对象质量一样。但重要的是,这增加了网络安全与企业创新和灵活性之间的冲突。图0-2 随着威胁增加,现有的网络安全模型变得越来越难以站得住脚
为了实现数字化适应力,企业需要从根本上改变组织结构,将网络安全与业务流程结合,改变IT管理方式。具体来说,数字化适应力有以下7个特点:(1)基于业务风险,定义信息资产的优先级。大多数组织机构不清楚需要保护哪些信息资产,哪些信息资产的保护优先级最高。网络安全团队必须与业务负责人紧密合作,理解整个价值链中的业务风险,从而给信息资产划分优先级。(2)给最重要的资产提供特别保护。很少有公司能够采用系统化方法,将信息资产的保护级别与信息资产对公司的重要程度相匹配。通过采取恰当的控制,可确保企业把最适合的资源配置到保护最重要的信息资产上。(3)将网络安全融入企业全面风险管理及治理过程。网络安全几乎与企业所有重要业务流程交织在一起。公司必须让网络安全团队与公司每个重要职能部门保持紧密沟通,如产品开发、市场营销、采购、公司行政、人力资源、风险管理,只有这样,才能使公司领导层在保护信息资产和业务的高效运作间做出合适的权衡取舍。(4)让员工主动保护个人信息资产。员工往往是企业网络安全最大的弱点——员工点击不安全的链接,使用不安全的密码,将敏感文件用电子邮件广泛传播。应根据员工所需要访问的资产,对员工分类管理,帮助每组人员理解日常工作活动可能带来的安全风险。(5)让网络安全与IT环境紧密结合。几乎IT环境的每个组成部分都会影响到企业安全保护能力——从应用程序开发到老旧硬件设备的更换策略。企业必须改变过去粗放的“追加式安全”(bolt-on security)心态,从员工入职第一天起便对每个员工进行培训,让他们融入技术项目中。(6)部署主动防御措施应对攻击者。大量有价值的信息可能遭受攻击,既可能来自外部,也可能来自企业内部技术环境。企业应综合分析与攻击相关的信息,主动应对攻击者,从而及时调整防御措施。(7)提高跨部门的应急响应能力。不管是技术团队,还是市场营销、行政或是客户服务部门,如果不能及时响应入侵攻击,将对业务造成破坏。企业应开启跨部门的“网络战争游戏”,以提升实时响应能力。
此中有以下三个关键点:(1)技术负责人认为,就数字化适应力来讲,完整采取上述措施可能会带来颠覆性改变。(2)其中只有两个是主要的网络安全手段,其余则需要IT技术或业务流程的改变。(3)公司采取上述措施的速度还不够快。目前,技术执行官给所在公司的努力程度打分普遍为C、C–。
本书第3~7章重点讨论了这7种手段。第3章主要讲述如何划分业务风险优先级、如何设置对重要信息资产的不同级别保护。第4章的视角为如何将网络安全融入企业业务决策、如何帮助最终用户保护信息资产。第5章介绍网络安全如何成为IT环境的一部分。第6章描述将情报、分析、操作与主动防御结合,以更快响应即将出现的威胁。第7章通过模拟作战过程来讲述如何构建跨企业的应急响应能力。
业务负责人必须推动改变
网络安全有多种特性,大型复杂的组织机构很难用一种整体方式来解决网络安全问题。网络安全具有普遍性,每个业务流程都会触及网络安全,这就意味着,很多与网络安全相关的决策都会产生深远的市场影响、战略影响,这就要求有高级管理者的参与。但是,想让合适的高级管理者参与进来也是很难的,因为网络安全的语言有些晦涩,网络安全团队往往与高级管理者缺乏沟通,并且少有工具可对网络安全威胁或减缓措施进行量化。
很多企业开展的网络安全工作都是为了避免出现上述这些问题,而非解决问题。它们开始机械化地评估风险,但却无法发现真正的安全问题;也没有考虑全面的降低风险机制;它们将实现数字化适应力看作安全控制的技术项目,而不是作为有重大技术影响的商业策略及作战计划;或许最糟糕的是,它们忽略了让高级管理人员参与这一点。
要设计出一个能快速、持续发展进而达成数字化适应力的有效网络安全项目,要围绕以下三个原则:(1)网络安全团队及其业务合作伙伴要协作参与,优先考虑风险,恰当权衡,在适当的时候改变业务流程及行为,而不是仅依靠技术解决方案来管理风险。(2)在IT组织机构里,注重适应力,促进安全、效率及敏捷度的结合,确保IT管理者从一开始就为了适应力和安全而设计技术平台。(3)大幅提升网络安全团队的技术和能力,管理者能理解业务风险,与业务合作伙伴有效协作,能驾驭快速变化的技术环境,对应用程序和基础设施环境有所影响,实施主动的防御战术。
这意味着,企业应制订一个精心策划、有长远目标的工作计划,而企业也倾向于在跑之前先学会走路。但不幸的是,攻击者不会耐心地等待企业渐进地提升自己的网络安全能力。现在,企业必须以积极主动且坚定的方式开展网络安全工作。
只有建立广泛的生态系统才能实现数字化适应力
虽然企业必须提升自己的能力,但是机构个体不能仅仅保护自己,政府、私营机构、社会组织应通力合作,创建适应性强的数字生态系统。
对于政府采取的某些行动是否有用、是否可行,有各种各样的观点。国家应创建国家网络安全战略,在政府公共部门间明确责任,并给公共机构和民间机构提供支持和帮助。执法部门、检察和司法部门应提高对网络安全问题的熟悉程度及专业知识,以更好地应对网络犯罪。国家之间交流,应优先考虑网络安全问题,并不断增加这一领域的透明度,促进积极性、约束及这一领域行动目标的透明度。
同样关键的是,行业协会、志愿组织应促进企业间共享信息、传播最佳实践经验、共同面对并解决挑战性问题,最终建立起共享的实用工具来提供重要的网络安全功能。
同时,金融机构和保险公司应通过建立网络攻击风险价格来支持企业持续的发展与进步。
本书最后两章内容讨论商业领袖如何实现数字化适应力目标。第8章介绍企业如何设计、推出有可持续发展的网络安全项目;第9章讲述了在促进数字化适应力之路上,数字生态系统中更广泛的参与者所扮演的角色,包括监管者、供应商等。
在当前的网络攻击挑战中,想要实现全球经济的持续创新和增长,需要有力的变革。对于公司来说,应从控制功能的视角管理网络安全,过渡到将保护信息资产的措施融入业务流程及整个IT环境中。此外,监管者、技术供应商及执法部门应与公司企业协作,创建一个数字化适应力的生态系统。如此规模的变革与复杂性,需要资深的商业领袖及决策者的积极参与。第1章网络攻击危及公司的创新步伐
商务投资时,一般都需要对潜在风险及预期收益作利弊权衡分析。例如,新的债券利率是否足够补偿违约风险?进入新兴市场可能获得的收入,是否会高于投资一旦被新政权没收的风险?海洋深水钻井所获取的石油价值是否会超出一旦发生灾难性事故所造成的损失?要回答这些问题,必先认真评估商业风险度。风险越高,越难促成投资。
技术投资亦是如此。在进行技术投资时,也通常需要权衡风险与收益。然而,对于企业来讲,全球网络连接性的不断提升使得风险和收益都随之提高。虽然,网络连接后会得到更高的商业回报,但是网络连接得越紧密,网络攻击者能利用的安全隐患就越多,攻击者一旦入侵后造成的破坏就越大。因此,制造商投资新产品时,是打赌该产品能防止知识产权窃取行为;零售商投资移动商务时,是打赌网络诈骗不会严重损害盈利能力;银行投资顾客数据分析时,是打赌其所分析的敏感数据不会被网络罪犯窃走。在这些赌博中,占胜算的一方不是制造商、零售商或者银行等公司,而是网络攻击者。大多数公司对网络安全采取较为孤立且被动反应式的方法,在不久的将来,网络攻击者可大显身手。
我们对商业领袖、CIO、CTO及CISO进行采访后发现,对网络安全的担忧已然影响到大型机构对用技术创新来创造价值的兴趣及能力。不论是直接的还是间接的损失,以及防范攻击者所需的高额成本和漫长时间,都降低了技术投资的预期经济效益。简而言之,公司针对网络攻击所采用的防御方式限制了它们利用技术创新获取更多价值的能力。网络攻击风险降低了信息技术的价值
企业对网络安全的担忧造成三个方面的不利影响:一线生产效率降低、具有高价值的IT项目获得的资金支持较少以及新技术应用较慢。一线生产效率降低
相比几年前,企业设置了更多安全控制来限制员工利用科技。比如,不允许在公司台式电脑上安装应用程序、关闭USB端口阻止访问Dropbox等云服务、禁止高管们将公司笔记本电脑带到某些国家或一回国就重新格式化计算机,甚至在有的公司,层层安全控制让开机过程变得费时、令人不快。
也许,企业网络安全团队有充分理由推行这些措施。例如,未知程序可能是防毒程序无法检测到的恶意软件,USB端口可能成为感染病毒的源头,USB端口及网络服务都可能是非法复制敏感数据的途径。
然而,职员则会认为上述安全控制规定有些苛刻。更糟糕的是,这些会直接影响生产效率及员工士气。譬如,销售人员不能把新产品视频介绍存到USB存储器里拿给潜在客户看,将要出国的高管得先把通信录拷贝到一次性手机上,他们在国外的时候还不能用自己的笔记本登录Skype与在国内的亲属通话。
安全控制措施还会限制一线员工进行实验研究,而很多从信息技术中获取的价值就来源于实验。在20世纪80年代,最初开始使用Lotus 1-2-3软件构建报表模型的银行家们并没有得到公司IT的支持。20年后,IT人员也不知道一小群高管开始使用黑莓手机相互联络了。上述创新行为若放在今天显然违反了大多大型公司的信息安全策略。
以上因素导致的结果就是,10个技术高管中有9个都会说网络安全控制措施对终端用户的生产效率产生了影响;在高科技部门,有六成高管表示对生产力的影响是主要让人头痛的问题。一位来自大型银行的高级技术经理称,如果CEO知道因员工要应付安全控制而白白浪费了多长时间的话,他“会把我们都吊死的”。一家高科技公司的CISO表示,他相信安全控制是一些优秀的工程师离开公司的一个原因。
不幸的是,在很多情况下,严格的安全控制并不能解决最初想要解决的问题,而且还会导致员工完全回避公司IT部门的控制,从而大大增加了风险,这颇具讽刺意味。举例来说,在一家证券公司,很多银行家都为单位电脑的开机启动时间长及其他安全控制而感到不快,于是他们不再带着公司笔记本出差,而是买来便宜的不带安全控制的笔记本电脑,使用免费的网页电子邮箱服务来进行相互沟通。
甚至连政府雇员也会寻找变通方法来应对安全控制。2010年一项针对美国联邦官员的调查显示,有近2/3的人表示,安全限制让他们无法从一些网站获取信息或使用与工作相关的应用程序,对此,他们的解决办法是:使用非政府机构的设备来得到他们所需的信息。实际上,有超过一半的人称他们会在家里获取需要的信息,而不是在办1公室,以此规避安全控制。具有高价值的IT项目获得的资金支持较少
相比整体IT预算和营业收入,网络安全直接支出虽然较少,但是,由于对如应用程序开发和基础设施等其他IT用途的下游效应,网络安全仍在能创造价值的IT项目中挤占着资源。
很难获知公司会花费多少资金用来保护自己免受网络攻击。诸如防火墙管理、身份和访问管理(I&AM)等一些安全相关的工作可能列入安全预算内,或者也可能包含在IT其他方面的预算内。加之各公司在安全态势上的差异,这就意味着,不同公司在网络安全上花费的值域较大。通常,网络安全方面会占IT预算的2%~6%,不过,我们知道一些公司这个数字会达到8%~9%,一般,这样的公司会对安全有着严格要求,抑或它们正在开展提高安全能力的大型项目(见图1-1)。图1-1 网络安全支出在IT整体预算中的比例差异非常大,即使是在同一个领域
相比企业IT其他领域,网络安全方面的发展更为快速,但是,在大多数公司里,网络安全直接支出看上去并没有那么多。虽然一些大型银行和通信公司会花费数亿美元用于增强网络安全,但另有很多大型公司的这项花费要少得多。举例来说,一家总收入为250亿美元的制造企业的IT支出为收入的2%,这部分支出中有5%是用于网络安全的,那么该公司网络安全支出仅为2500万美元,所占甚少。在2.1万亿美元的全球企业IT预算中,网络安全只有900亿美元,这其中有3/4用于硬件、软件和服务,1/4用于内部劳动力(见图1-2)。图1-2 企业IT总支出超2万亿美元,而网络安全总支出不足1000亿美元
很多技术高管认为,他们为保护公司安全已经花费足够多的资金了。我们采访到的高管中有略超过一半的人表示,公司在网络安全上的花费额是适量的,只有约1/3表示这部分开销明显太低了。一些CISO告诉我们,他们在预算上有求必应,比起资金来说,让他们更感到受束缚的是缺乏优秀人才。据互联网解决方案供应商思科公司估计,在全球范围内,对安全专业人员的需求与可用人才之间的缺口可2高达100万人。几乎每位CISO都告诉我们,他们可以得到招聘更多员工的批准,但无法足够快地招到能填补空缺职位的人员。
不同行业的CISO对他们所需的预算有着截然不同的看法。超过六成的金融服务和高科技公司表示,它们有足够多的网络安全预算,但只有不到四成的保险公司和约1/4的医疗保健公司表达了同样的看法。近乎2/3的医疗保健公司技术高管称他们公司的网络安全预算太少了(见图1-3)。图1-3 一半技术高管认为公司在网络安全上的花费足够多
当包括在安全团队外实施的间接安全活动花费时,在网络安全上的花费数额便大幅增加了。很多组织机构不仅在IT安全之外执行一些与安全相关的功能,而且,安全团队采取的很多措施为应用程序开发、基础设施及更广泛的业务团体创建了很多资金没有着落的任务。开发者花费数月或数年时间重构应用程序以达到安全标准;网络团队花费数千万美元重新配置网络以让其更加安全;系统管理员花费无数个时日给数以万计的服务器安装安全补丁;经过多年的基础设施优化,很多IT部门能在几个小时或几天准备一台服务器,然后要花三四周的时间来进行安全相关的配置,这都意味着要花费成本。
我们请CIO、CTO、CISO们来做个估计,有多少非安全性IT预算实际用在了安全上。坦白地说,很多人对此不知情,但确定数目一定不小。那些能说出花费金额的人占预算的25%~30%,这意味着,直接和间接安全活动相结合消耗了IT预算的1/3。
当今世界,渴望技术创新的企业遇到有限的IT预算的困难,企业领导痛苦地抱怨开发和运行应用程序的花费,每年,针对IT部门所有资金能做的项目都有激战,这就意味着安全需求正从能创造价值的IT中“夺”走大量资源。新技术应用较慢
CIO及CTO们的时间表里排满了创新议程。高级管理人员、客户及最终的股东期待他们在诸多领域推出新功能,比如云计算、大数据、电子商务、物联网、移动商务、企业移动化等。
几乎大家都告诉我们,在落实新技术中,安全往往是瓶颈,这需要一些实际工作来评估供应商提供的新产品的漏洞、找到安全地设计解决方案的办法。举例来说,安全团队必须评估新型移动设备来判定设备本地存储什么数据、防止未经授权访问的身份验证机制有多牢靠。他们必须评估新的外部面向网络(web-facing)的功能,来查看它是否创建一个能被攻击者所利用的进入面向客户系统的入口点,还要分析攻击者会如何渗入新的功能,识别潜在漏洞、设计成本和便利性所能接受的控制。
所有这些任务都需要时间去完成,尤其是刚刚出现的技术,还未在现实世界中得到足够的压力测试,这将大幅拖延新功能的引入时间。一家医疗设备公司的CISO解释道,他们用了一年时间才找到安全方法将有网络连接的设备置入手术室环境。
对于很多技术来说,滞后时间都相对较短,至少目前是这样的。IT管理者告诉我们,安全需求让大数据分析、移动服务、在线服务、在线支付的实现延迟了不到三个月时间。不过,很多人解释称,那是由于企业的当务之急,除了推出新技术别无选择,即使安全问题仍不清晰。
其中,受影响最大的莫过于云计算和移动化(见图1-4)。平均来讲,企业移动功能的实现被推迟了6个多月,公共云能力被推迟的更长,出于安全的考虑,很多公司表示,在可预见的未来,它们不会将敏感数据存储在公共云上。
企业移动化方面的推迟的主要原因在于,很多CISO所认为的企业移动安全模型不稳固。一位从事金融服务业的CISO告诉我们:“我们开始用移动设备进行试验了,然而,出现推迟的原因在于移动设备会制造的潜在威胁数量。”从事医院网络的一位CISO也面临着类似的挑战。“有几千名医生都想访问、进网,但是他们还想做自己的事情。我们必须确保在他们之间的一切都是安全的,自然而然,一些系统就不得不推迟。”图1-4 公司最担心的是移动和云计算的安全隐患
结果就是,大多机构都集中在覆盖面相对较窄的移动能力上,比如电子邮件、日历同步工具,这些只能给用户提供一小部分在笔记本电脑上所拥有的功能。
至于推迟使用公共云则由多个因素造成。虽然一些管理人员强调了与安全无关的一些原因(比如合规方面考虑或“非我发明”综合征),但是,在采访中管理者们也提出了一些明显的安全方面考虑,特别值得提及的是,有的人感觉很多供应商的安全模型是缺乏透明度的,还有的认为,多组织用户共享的公共云架构缺乏如精心设计的本地环境所提供的深层防御,一些人不确定合同条款与条件如何设计以解决网络安全担忧。
结果,受访高管中有六成表示,安全方面的担忧让公司推迟使用云环境一年或更多的时间。我们将在第2章讲到,这样的推迟席卷全球经济时,会产生重大的经济意义。
很多CIO还担心,对网络攻击的担忧会放慢企业机构应用“物联网”的速度,“物联网”即物与物相连接的互联网,从冰箱、恒温控制器到汽车、重型机械等设备连接入互联网。很容易理解物联网带来的恐惧,比如将汽车连入互联网,假如攻击者能利用这些连接来肆意破坏或甚至只是监控动向,都是很危险的。以色列的网络安全研究员3已经证明,他们可以远程接管控制一辆汽车。
监管审查可进一步推迟技术创新的推出。在2013年,一家银行进行了98次监管审计,当一家公司不得不向数十位不同的监管者解释某项新技术如何能保障安全,而且是在不同的时间、被提问不同的问题,创新的步伐就大幅下降了。对每个人来说风险都很高,而且风险无处不在
在技术圈里,数字化可能是个流行词,这也代表了一个真实、重要的动态:经济价值普遍向网络转移。企业机构正将业务流程自动化,建立起与客户、供应商的网络连接,用数字化操控有价值的知识产权。如今,制造商可以在在线平台上进行原材料的投标,已经实现完全自动化的、实时的企业级网络竞投。医院逐渐将患者的病例存储在网上,这样,病例就可很轻松地得到共享,可促进更好的协作,存储更全面的医疗结果,甚至可促进远程治疗。很多证券交易从来不用经过人手,完全是借助计算机算法来进行,只在毫秒之间(有时甚至是微秒)。
举个例子,就用比较普遍的汽车保险来说,每一步都可转为依赖技术来完成,通常可在网上进行沟通(见图1-5)。图1-5 外部连接性对大多企业来说是不可或缺的(以汽车保险为例)
·客户在网上浏览不同的保险公司,阅读其他客户的评论和评分,客户还可到第三方聚合网站以获得最好的报价。
·为获取报价,客户在线填写一些个人基本信息,保险公司可利用这些信息来与多个公共和私有数据库匹配来衡量风险(比如,根据邮编来与公共犯罪数据库匹配,还有保险公司自己的特定车型安全可靠性数据库)。
·接着,客户填写完整申请——同样,都是在线操作,通过安全电子邮箱,最完善的还会使用电子签名——通过安全的网站付款。所有的保险政策及细节都是通过电子邮件发送到客户。
·在出现小事故的时候,客户提出索赔要求,而此时保险公司可能已经了解情况,因为车载信息系统不断给制造商发回报告,然后报告会共享给保险公司。甚至,保险公司已经自动提醒了其优先选择的汽车修理厂,为车辆修理进行了预定。
对于保险公司和客户来说,技术为双方都创造了价值,以降低成本的形式,提供新客户产品服务、与客户关系更为紧密、更好为客户服务。汽车保险业的情况也几乎可适应于其他可以想见的行业。企业公司必须处理好各种各样的威胁和风险
随着数字化进程的推进,公司面临着一系列与网络攻击有关系的风险。
欺诈
随着在线金融交易越来越普遍,网络欺诈的机会也开始暴增。网络罪犯会开立虚拟信用账户用欺骗手段购买商品和服务,或者,他们能控制合法账户并套空其中的资金。任何对网络犯罪的评估都不一定准确,但取其中一个估计结果为例——最近,计算机安全公司麦咖啡(McAfee)和美国战略与国际研究联合发布报告,估计网络犯罪4将会占全球国内生产总值(GDP)的0.8%。
客户信息丢失
黑客能利用客户社会保险号码、财务记录、医疗记录等客户数据来从事网络欺诈,或者,黑客会将数据拿到黑市上出售给有着同样目的的人。举例来说,电子健康记录中包含的信息可被用来支付保险公司的相关服务,而保险公司可能根本没有提供该项服务。处方药品数据可用来从多家药店完成医药处方,这样剩余药品可转售。事实上,健康记录经常含有开立信用账户或其他金融账户所需的足够信息,这就可导致更直接的盗窃。罪犯也会将名人的医疗信息卖给没有道德的媒体,或者他们可能用令人尴尬的医疗信息来敲诈勒索患者。结果,通过偷盗手段获取的一个人的医疗记录可卖到500美元,相比之下,偷来的含有社保号码、出生日期等美国身份的信息可卖25美元,而5“失效”(可能是过期了)的信用卡号码只卖得一两美元。
客户数据遭到大量损害不仅给客户带来不便,企业公司也会失去客户的信任,同时带来不小的修复成本。在2014年5月,美国知名购物网站eBay透露,攻击者损害了2.33亿账户的用户名、密码、手机号6码及物理地址等信息,迫使该公司请求所有用户修改密码。自那时起,在英国的民意调查显示,近半消费者表示,由于此次攻击,他们未来不太可能再使用eBay。之后,还是2014年,在盈利电话会议上,eBay的CEO约翰·多纳霍表示,由于攻击影响到了业务总量,该8公司将2014年的销售目标降低了两亿美元。除了对客户的影响,修复攻击漏洞的花费也是昂贵的。研究机构波耐蒙研究所(Ponemon 9Institute)预计,攻击漏洞造成的平均损失为350万美元,而大型攻击的花费很容易就可达到数亿美元。美国零售商塔吉特百货告诉投资者,与2013年遭受的针对7000万客户记录的漏洞相关的花费包括偿付欺诈、卡片补发、民事诉讼、政府调查、律师费及调查费用,此外,10还有修复漏洞需要的增量操作和资本支出。
知识产权丢失
现代企业的大多价值在于知识产权(IP),而非机器、建筑等有形资产。产品设计、制造工艺、营销策划乃至电影剧本——IP是个诱人的目标,如今很多都以电子形式保存,因此发动网络攻击的时机可谓成熟。美国知识产权盗窃研究委员会(The Commission on the Theft of American Intellectual Property)的报告预计,利用网络进行11的知识产权盗窃每年让美国经济损失3000亿美元。
处于不利地位的协商
一般来说,管理人员在网上通过电子邮件或即时消息来沟通,甚至在讨论敏感协商的时候也是如此。谈论话题或许包括有可能发生的合并或合资经营、新的采购协议、开采权益(几乎没有什么被认为是不能通过电子邮件讨论的)。然而,举例来说,一家公司如何达成协议、愿意支付的最大数额等,如果落入坏人之手将造成很大损失。一家石油勘探公司估计,针对开采权益该公司愿意支付给某政府的数额这种数据丢失的话,会造成高达数十亿美元的影响,因此这是最重要的企业风险之一。高级管理人员在董事会会议室中谈论“价值数以十亿美元的电子邮件”并非夸张。
敏感的管理层会议内容泄露
每个管理团队都得保持会议讨论内容的保密性。如果竞争对手获知了管理团队对未来产品计划想法的相关信息,自然将是极为有害的。另外,在制定和执行策略的过程中,管理者经常会分享对他们的客户、自己的产品、监管者、员工等的坦率直白的看法,而如果这些看法被公开的话,有可能伤害到与一些方面人士的关系。举例来说,布雷德利(如今名为切尔西)·曼宁下载到U盘并通过维基解密网站泄露的政府文件中包含有美国对一些国外领导人的坦率看法,美国国务12院认为这损害了与盟友的关系。
业务遭破坏
2012年年底到2013年年初,“网络战士”(Cyber Fighters)发布了一系列分布式拒绝服务(DDoS)攻击,旨在打击美国银行的网上银行业务,使其无法给客户提供服务。最后,即使破坏相对有限,但在2013年年初,这些攻击成功地让下载网上银行应用程序的时间翻13了倍。
DDoS攻击带来了烦恼和不便,但是CISO们更倾向于担心毁灭性攻击,造成的危害不仅局限于延误和中断,而且危害到金融交易、干扰电子医疗设备或关停生产制造业务等。沙特阿拉伯国家石油公司(Saudi Aramco)曾受到攻击,硬盘上的诸多数据被删除,这致使在14两周多时间里显著影响了该公司的业务操作。
沙特阿拉伯国家石油公司称:“本次攻击的主要目标是阻止本地15及国际市场的原油和天然气流动。”
法律和监管风险
在很多领域,丢失敏感客户数据都会带来严重的法律后果。举例来说,在美国医疗行业,《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act,HIPAA)规定每条记录罚款100美元到5万美元,单次事件罚金可高达150万美元。集体诉讼还可产生更为毁灭性的后果。加利福尼亚州首席检察官办公室估计,每条丢失的医疗数据价值2000美元。加州北部非营利的Sutter Health医疗集团每年营业收入为100亿美元,该集团的一台台式机遭偷盗,而且是通过非技术手段偷的——用石头砸窗户。该集团推出了一个加密程序,但还没用到台式机设备上,结果,100万患者的临床数据、300多万患者的基本数据被偷盗。接踵而至的诉讼费用达42.5亿美元。值得庆幸的是,原告无法证明不法分子利用了这些数据,案子也在3年后被驳回了,尽管如此,该案件仍吸引了管理层的众多关注。16
这些风险源于一系列攻击者,过去几年里,攻击者的能力有了显著提升。
·有组织犯罪集团寻求从网络攻击中获益,它们不仅从事在线欺诈,也盗取消费者的个人信息,它们可将这些信息整合到自己的数据仓库中,进而用于身份盗窃。
·关于网络战争,人们有很多辩论和讨论,但有国家资助的参与者大多关注的是间谍活动,要么告发国家策略,要么获取有价值的IP,将其传给受到优待的本国企业。
·“匿名者”(Anonymous)和“卢兹安全”(Lulzsec)这样的激进黑客组织致力于破坏和羞辱它们所反对的政府机构和企业,它们可能反对后者的政策和做法。
此外,内部人士也成为日益重要的威胁。技术管理人员强调称,获得敏感数据的最简单方法就是,佩戴标记的雇员上午走进大楼,利用有效的身份证件登录安全系统。由于贪婪或者对被忽略而没有晋升机会的愤恨,承包商或雇员会受到鼓舞去从事这些活动。他们可能受到局外人的损害——一个犯罪组织利用对开发商家庭的威胁,来逼迫开发商插入代码授权向一个应用程序进行非法支付。雇员也可能说服自己没有犯罪,比如,在离职将去给原公司的竞争对手效力前他们下载原公司的客户清单。或许最为重要的是,雇员及承包商知道来龙去脉——他们知道在哪能找到最为敏感的信息,他们通常也有一定的商业洞察力,可以将信息有效地加以利用。
战略风险
面对如此多的潜在毁灭性的后果,各地区各行各业的技术高管高度重视网络攻击带来的风险。约有2/3的技术高管称,这些风险在未来几年会产生具有重要战略意义的大问题。通常,他们用此前列出的风险来解释自己的观点:IP丢失、客户数据被盗及业务遭破坏。较少的受访者(约有一成),表示网络攻击的风险是存在的,并认为“在未来5年内的某时会让他们的灯光熄灭”。
灯光熄灭意味着,要么遭遇极具破坏性攻击,要么更有可能的是,客户信任不可挽回地垮台。一家社交媒体公司的CISO表示:“如果我们得不到客户信任,那么产品本身也就荡然无存。”一家大型金融机构的CISO称,他担心网络攻击会彻底破坏交易数据,因此完全不可能对此问题放松。
我们所采访的1/4的人认为网络攻击是开展业务的常见风险,这些高管与企业所面临的其他风险的大环境联系在一起,比如银行业面临的流动性危机,或者制造企业面临的自然灾害。
有趣的是,无一受访者同意这个说法:“网络攻击的风险被夸大了,它完全处于我们的掌控下。”事实上,比起其他类型的技术风险,网络攻击是更令人担忧的。受访者中有3/4的人说,外部网络攻击是两大技术风险之一,近六成受访者认为内部人士威胁亦是如此,不到1/3的受访者列出他们认为最为严重的其他技术风险,其中包括灾难、设计拙劣的程序代码(这导致骑士资本集团(Knight Capital)损17失4.4亿美元)及技术操作质量低,比如服务器配置错误导致重要程序崩溃(见图1-6)。图1-6 比起其他技术风险,网络攻击的风险更大
虽然各行业间对某一风险的担心程度略有差别,但是每个领域所担心的风险类型差距较大(见图1-7)。概括来说,服务行业优先考虑客户数据被盗及业务操作受干扰的问题,而产品公司优先考虑商业间谍活动。举例来说,几乎任何金融机构都提及商业间谍是它们的主要关注点。投资银行业的CISO告诉我们,虽然IP对他们的业务来说非常重要,但是其结构和形式限制了特定的破坏的影响:交易算法极富价值,但IP分配在很多产品部门的诸多算法上(比如货币、利率互换),这样,任何一种算法的损失只会有一定的财务影响。此外,很多算法会迅速改变,因此被窃取的IP的价值在短短几个月后就会大大
试读结束[说明:试读内容隐藏了图片]