互聯(lián)互通驅動著技術的不斷顛覆，積極應對網絡安全問題成為全球共識，安永要做的工作就是通過自動化技術來幫助企業(yè)將第一代網絡安全能力升級。

——安永公司亞太區(qū)CYBER主管合伙人?Richard Watson

當今的世界有危險，有機遇，很明顯我們現(xiàn)在面臨著技術顛覆的時代。造成顛覆的原因是什么？原因包括越來越快的信息傳輸速度，比如5G技術，還有器械設備的互聯(lián)互通，以及自動化技術的發(fā)展。技術的顛覆對企業(yè)的業(yè)務來講意味著什么？企業(yè)需要改變運作模式、商業(yè)模式，我們現(xiàn)在的業(yè)務周期變得越來越短，各個行業(yè)之間不斷融合，橫跨的業(yè)務板塊越來越多樣，市場變化越來越迅速。

在技術顛覆的時代，廣泛存在的是融合，有IT與OT環(huán)境的融合，還有網絡與機械設備的融合等。隨著AI技術的演變，以及自動化技術、傳感器、云計算等發(fā)展，各部分運作系統(tǒng)之間的隔離正在被破除。這種技術發(fā)展帶來的連接性可能會將以前的一些本地問題變成全球性問題，帶來更大的企業(yè)聲譽風險，造成重大的財務損失，甚至還會對人身安全造成影響。另外，這種連接性還會給整個OT系統(tǒng)帶來嚴重的干擾。如果員工在沒有被監(jiān)督的情況下接觸到了OT系統(tǒng)并做了錯誤操作，之前因為各部分系統(tǒng)之間是相互隔離的，所以一般不會發(fā)生問題，但現(xiàn)在一切都是相互連接的，所以問題會到處傳染，并且在工業(yè)生產過程當中，問題會被愈來愈放大。

由于云技術的引入，OT環(huán)境不斷地被放大，而且在整個操作系統(tǒng)當中，OT社區(qū)有了更高的意識，更易受到針對OT的病毒攻擊，比如一些制造廠就受到了惡意勒索病毒的攻擊，這些都激起了大家建設安全網絡環(huán)境的意識。

我們測試了很多OT系統(tǒng)，發(fā)現(xiàn)了很多有意思的事情，不管是在交通領域，還是在制造領域，實際上有一些基礎網絡應用原則沒有被應用到OT系統(tǒng)中。例如，我們在OT系統(tǒng)里面用的是明文密碼，但這在IT系統(tǒng)當中是不可以的。另外，OT系統(tǒng)打補丁是很困難的，在IT系統(tǒng)中我們可以通過下載更新補丁來完善系統(tǒng)，因此相較于IT系統(tǒng)，OT系統(tǒng)更易遭到惡意軟件的攻擊。

接下來我想要談一談亞太地區(qū)的一些公司和組織是如何應對網絡安全方面的問題。首先，現(xiàn)在的公司和企業(yè)，不再采用基于標準的方法，而是更多地采用基于風險的方法來應對網絡安全問題。其次，企業(yè)要清楚了解風險的類型和大小，進而制定控制、改善風險的措施，如果有更高的安全標準作為基準，那么我們要盡量去符合它。實際上我們最終的目標不是一味地去滿足高標準，而是減少風險發(fā)生的概率，所以我們要了解我們暴露在什么樣的威脅下，我們要知道競爭對手是什么樣的。

我們要以長遠的眼光看待未來網絡安全的情景，要讓管理層認識到網絡安全風險對制造業(yè)的影響，引發(fā)重視，讓網絡安全置于企業(yè)管理層的中心位置，提前規(guī)劃和組織安全防護的系統(tǒng)框架，未雨綢繆，有效預防網絡安全事件的發(fā)生。

我們可以看到，整個亞太地區(qū)的網絡安全應對措施在不斷地變化，而且出現(xiàn)了更多以數(shù)據(jù)為中心的方法。以一個在供應鏈領域的網絡安全問題為例，在交換數(shù)據(jù)的過程中，我們要明確我們是和誰在分享數(shù)據(jù)，要清楚了解和我們分享數(shù)據(jù)的網絡的安全成熟性是否符合安全要求。如果我們花了很多錢保護數(shù)據(jù)，結果卻把數(shù)據(jù)傳輸給了一個安全性很差的網絡，這樣之前的安全防護工作不就功虧一簣了嗎？所以整個供應鏈都要建立起網絡防范機制。

現(xiàn)在的一些網絡安全計劃、隱私計劃、數(shù)據(jù)管理計劃相互融合改進，實際上是為了更好地保障數(shù)據(jù)安全。就獲取數(shù)據(jù)的方式上，我們有以下兩個方面的措施：一方面可以根據(jù)不同的用戶場景來設計不同的數(shù)據(jù)獲取方式，另一方面可以規(guī)定不同的部門采用不同的方式獲取數(shù)據(jù)以規(guī)避風險。

網絡安全中心如果使用一些自動化的預警機制，就可以有效地調整工作流程，來降低風險發(fā)生的概率，所以自動化在網絡安全領域發(fā)揮著越來越重要的作用。安永要做的工作就是通過自動化技術來幫助企業(yè)將第一代網絡安全能力升級。

企業(yè)最感興趣的還是信任，信任是進行任何商業(yè)行為所需的貨幣。網絡安全可以幫助企業(yè)與利益相關方建立信任?，F(xiàn)在網絡風險管理成為了產品決策和業(yè)務決策過程中不可或缺的一部分。我們要建立全新的安全基礎設施，就要了解有哪些實時的風險，而對于企業(yè)來說，只有以透明公開的方式來做網絡安全的風險控制，才能贏得利益相關方的信任。

最后，管理層和董事會應該進一步了解并重視網絡安全領域。我們要做的是針對網絡事件進行正確應答，同時針對數(shù)據(jù)采用安全的訪問方式，而不是阻止外部對數(shù)據(jù)的訪問。我們應該明確的一點是企業(yè)的整體都應該對網絡安全負責，而不是某一部分人。

我講述的內容總結起來有以下四個關鍵點：一是互聯(lián)互通驅動技術的顛覆，會改變很多應用場景;二是我們要采取基于風險的方法來應對網絡安全，而不是基于標準的方法;三是網絡安全是企業(yè)立足的支柱之一，能夠構筑企業(yè)信任;四是董事會和高管面對不斷新生的機遇，要正確看待問題，聚焦正確的活動，實施正確的措施。

（根據(jù)演講內容整理，未經本人審核）