萬物互聯(lián)世界的網(wǎng)絡(luò)風(fēng)險

互聯(lián)互通驅(qū)動著技術(shù)的不斷顛覆，積極應(yīng)對網(wǎng)絡(luò)安全問題成為全球共識，安永要做的工作就是通過自動化技術(shù)來幫助企業(yè)將第一代網(wǎng)絡(luò)安全能力升級。

——安永公司亞太區(qū)CYBER主管合伙人?Richard Watson

當(dāng)今的世界有危險，有機遇，很明顯我們現(xiàn)在面臨著技術(shù)顛覆的時代。造成顛覆的原因是什么？原因包括越來越快的信息傳輸速度，比如5G技術(shù)，還有器械設(shè)備的互聯(lián)互通，以及自動化技術(shù)的發(fā)展。技術(shù)的顛覆對企業(yè)的業(yè)務(wù)來講意味著什么？企業(yè)需要改變運作模式、商業(yè)模式，我們現(xiàn)在的業(yè)務(wù)周期變得越來越短，各個行業(yè)之間不斷融合，橫跨的業(yè)務(wù)板塊越來越多樣，市場變化越來越迅速。

在技術(shù)顛覆的時代，廣泛存在的是融合，有IT與OT環(huán)境的融合，還有網(wǎng)絡(luò)與機械設(shè)備的融合等。隨著AI技術(shù)的演變，以及自動化技術(shù)、傳感器、云計算等發(fā)展，各部分運作系統(tǒng)之間的隔離正在被破除。這種技術(shù)發(fā)展帶來的連接性可能會將以前的一些本地問題變成全球性問題，帶來更大的企業(yè)聲譽風(fēng)險，造成重大的財務(wù)損失，甚至還會對人身安全造成影響。另外，這種連接性還會給整個OT系統(tǒng)帶來嚴重的干擾。如果員工在沒有被監(jiān)督的情況下接觸到了OT系統(tǒng)并做了錯誤操作，之前因為各部分系統(tǒng)之間是相互隔離的，所以一般不會發(fā)生問題，但現(xiàn)在一切都是相互連接的，所以問題會到處傳染，并且在工業(yè)生產(chǎn)過程當(dāng)中，問題會被愈來愈放大。

由于云技術(shù)的引入，OT環(huán)境不斷地被放大，而且在整個操作系統(tǒng)當(dāng)中，OT社區(qū)有了更高的意識，更易受到針對OT的病毒攻擊，比如一些制造廠就受到了惡意勒索病毒的攻擊，這些都激起了大家建設(shè)安全網(wǎng)絡(luò)環(huán)境的意識。

我們測試了很多OT系統(tǒng)，發(fā)現(xiàn)了很多有意思的事情，不管是在交通領(lǐng)域，還是在制造領(lǐng)域，實際上有一些基礎(chǔ)網(wǎng)絡(luò)應(yīng)用原則沒有被應(yīng)用到OT系統(tǒng)中。例如，我們在OT系統(tǒng)里面用的是明文密碼，但這在IT系統(tǒng)當(dāng)中是不可以的。另外，OT系統(tǒng)打補丁是很困難的，在IT系統(tǒng)中我們可以通過下載更新補丁來完善系統(tǒng)，因此相較于IT系統(tǒng)，OT系統(tǒng)更易遭到惡意軟件的攻擊。

接下來我想要談一談亞太地區(qū)的一些公司和組織是如何應(yīng)對網(wǎng)絡(luò)安全方面的問題。首先，現(xiàn)在的公司和企業(yè)，不再采用基于標(biāo)準(zhǔn)的方法，而是更多地采用基于風(fēng)險的方法來應(yīng)對網(wǎng)絡(luò)安全問題。其次，企業(yè)要清楚了解風(fēng)險的類型和大小，進而制定控制、改善風(fēng)險的措施，如果有更高的安全標(biāo)準(zhǔn)作為基準(zhǔn)，那么我們要盡量去符合它。實際上我們最終的目標(biāo)不是一味地去滿足高標(biāo)準(zhǔn)，而是減少風(fēng)險發(fā)生的概率，所以我們要了解我們暴露在什么樣的威脅下，我們要知道競爭對手是什么樣的。

我們要以長遠的眼光看待未來網(wǎng)絡(luò)安全的情景，要讓管理層認識到網(wǎng)絡(luò)安全風(fēng)險對制造業(yè)的影響，引發(fā)重視，讓網(wǎng)絡(luò)安全置于企業(yè)管理層的中心位置，提前規(guī)劃和組織安全防護的系統(tǒng)框架，未雨綢繆，有效預(yù)防網(wǎng)絡(luò)安全事件的發(fā)生。

我們可以看到，整個亞太地區(qū)的網(wǎng)絡(luò)安全應(yīng)對措施在不斷地變化，而且出現(xiàn)了更多以數(shù)據(jù)為中心的方法。以一個在供應(yīng)鏈領(lǐng)域的網(wǎng)絡(luò)安全問題為例，在交換數(shù)據(jù)的過程中，我們要明確我們是和誰在分享數(shù)據(jù)，要清楚了解和我們分享數(shù)據(jù)的網(wǎng)絡(luò)的安全成熟性是否符合安全要求。如果我們花了很多錢保護數(shù)據(jù)，結(jié)果卻把數(shù)據(jù)傳輸給了一個安全性很差的網(wǎng)絡(luò)，這樣之前的安全防護工作不就功虧一簣了嗎？所以整個供應(yīng)鏈都要建立起網(wǎng)絡(luò)防范機制。

現(xiàn)在的一些網(wǎng)絡(luò)安全計劃、隱私計劃、數(shù)據(jù)管理計劃相互融合改進，實際上是為了更好地保障數(shù)據(jù)安全。就獲取數(shù)據(jù)的方式上，我們有以下兩個方面的措施：一方面可以根據(jù)不同的用戶場景來設(shè)計不同的數(shù)據(jù)獲取方式，另一方面可以規(guī)定不同的部門采用不同的方式獲取數(shù)據(jù)以規(guī)避風(fēng)險。

網(wǎng)絡(luò)安全中心如果使用一些自動化的預(yù)警機制，就可以有效地調(diào)整工作流程，來降低風(fēng)險發(fā)生的概率，所以自動化在網(wǎng)絡(luò)安全領(lǐng)域發(fā)揮著越來越重要的作用。安永要做的工作就是通過自動化技術(shù)來幫助企業(yè)將第一代網(wǎng)絡(luò)安全能力升級。

企業(yè)最感興趣的還是信任，信任是進行任何商業(yè)行為所需的貨幣。網(wǎng)絡(luò)安全可以幫助企業(yè)與利益相關(guān)方建立信任?，F(xiàn)在網(wǎng)絡(luò)風(fēng)險管理成為了產(chǎn)品決策和業(yè)務(wù)決策過程中不可或缺的一部分。我們要建立全新的安全基礎(chǔ)設(shè)施，就要了解有哪些實時的風(fēng)險，而對于企業(yè)來說，只有以透明公開的方式來做網(wǎng)絡(luò)安全的風(fēng)險控制，才能贏得利益相關(guān)方的信任。

最后，管理層和董事會應(yīng)該進一步了解并重視網(wǎng)絡(luò)安全領(lǐng)域。我們要做的是針對網(wǎng)絡(luò)事件進行正確應(yīng)答，同時針對數(shù)據(jù)采用安全的訪問方式，而不是阻止外部對數(shù)據(jù)的訪問。我們應(yīng)該明確的一點是企業(yè)的整體都應(yīng)該對網(wǎng)絡(luò)安全負責(zé)，而不是某一部分人。

我講述的內(nèi)容總結(jié)起來有以下四個關(guān)鍵點：一是互聯(lián)互通驅(qū)動技術(shù)的顛覆，會改變很多應(yīng)用場景;二是我們要采取基于風(fēng)險的方法來應(yīng)對網(wǎng)絡(luò)安全，而不是基于標(biāo)準(zhǔn)的方法;三是網(wǎng)絡(luò)安全是企業(yè)立足的支柱之一，能夠構(gòu)筑企業(yè)信任;四是董事會和高管面對不斷新生的機遇，要正確看待問題，聚焦正確的活動，實施正確的措施。

（根據(jù)演講內(nèi)容整理，未經(jīng)本人審核）