Richard Watson

我們要真正的基于風(fēng)險(xiǎn)考量來建立自己的網(wǎng)絡(luò)安全程序，而不是希望用最小的付出來滿足監(jiān)管的要求。

大家好，我是Richard Watson，EY亞太區(qū)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)，很高興能在今年的世界計(jì)算機(jī)大會上在線作演講。考慮到此次主題是“網(wǎng)絡(luò)安全和可信計(jì)算”，我希望能在此分享EY公司與亞太地區(qū)的公司就網(wǎng)絡(luò)安全展開合作而得來的見解。

我們的業(yè)務(wù)范圍從日本到亞洲再到新西蘭，與一些領(lǐng)先的私人企業(yè)、商業(yè)以及政府合作，他們都非常關(guān)注如何改善自身的網(wǎng)絡(luò)安全狀況，如何改革其組織中已有的網(wǎng)絡(luò)安全。當(dāng)然，這是他們應(yīng)對所面臨的持續(xù)且重大的環(huán)境威脅而作出的反應(yīng)。

每年我們會為客戶做網(wǎng)絡(luò)安全調(diào)查，我們稱之為全球信息安全調(diào)查，2020年，由于新冠肺炎疫情的影響，我們做了兩次調(diào)查，目的是了解機(jī)構(gòu)、公司是如何看待威脅和變化的。45%的受訪者在此次全球信息安全調(diào)查中表明，他們部署了新系統(tǒng)來幫助員工遠(yuǎn)程工作，從而在疫情中繼續(xù)他們的運(yùn)營。但他們60%的系統(tǒng)跳過了真正關(guān)鍵的網(wǎng)絡(luò)安全測試步驟。所以，我們現(xiàn)在可見到為了應(yīng)對疫情，新系統(tǒng)數(shù)量迅速部署且不斷增長，但其安全問題卻被忽略了，這增加了企業(yè)所面臨的威脅。

一方面，我們遇到的破壞性攻擊，尤其是勒索軟件的攻擊，EY全球信息安全服務(wù)的受訪者表示達(dá)到了59%，攻擊數(shù)量不斷增長，在如今大多數(shù)人仍在遠(yuǎn)程工作的大背景下，這是一個(gè)令人擔(dān)憂的問題。另一方面是對第三方的擔(dān)憂，很多企業(yè)仍然沒有完全了解一個(gè)問題：通過和第三方的接觸而暴露的網(wǎng)絡(luò)安全和威脅，往往發(fā)生在程序設(shè)置中，這些設(shè)置用以持續(xù)調(diào)控第三方，而了解組織機(jī)構(gòu)的網(wǎng)絡(luò)力量可以進(jìn)入系統(tǒng)數(shù)據(jù)和信任的重要操作中，因此改善和理解其他第三方的狀況至關(guān)重要。

我們?nèi)绾慰创蛻魧ν{的反應(yīng)？我們需要問一個(gè)問題：你們的網(wǎng)絡(luò)安全投資動力是什么？客戶在網(wǎng)絡(luò)安全上投資的第一大原因無論大家驚不驚訝，實(shí)際上法規(guī)的遵從性仍然是驅(qū)動力。亞太地區(qū)機(jī)構(gòu)的網(wǎng)絡(luò)安全投資占多數(shù)，我們的調(diào)查者中18%的客戶表示他們在網(wǎng)絡(luò)安全上花錢的首要原因是遵守法規(guī)?，F(xiàn)在可以從兩個(gè)方面來看這個(gè)問題。一方面僅為了監(jiān)管需要而建立網(wǎng)絡(luò)防御，可被視為用最小的付出就能滿足監(jiān)管的要求。當(dāng)然，這并不符合我們推薦的真正的基于風(fēng)險(xiǎn)考量構(gòu)建自己網(wǎng)絡(luò)安全程序時(shí)采用的初衷。但另一方面，這是讓首席財(cái)務(wù)官在網(wǎng)絡(luò)安全上花錢的手段，因?yàn)楸O(jiān)管的要求至少能推動機(jī)構(gòu)構(gòu)建成熟網(wǎng)絡(luò)，規(guī)章制度似乎是讓機(jī)構(gòu)完成事情的最好方式。

客戶在網(wǎng)絡(luò)安全上投資的第二大原因是為了優(yōu)化風(fēng)險(xiǎn)和控制。我們看到了一些變化，不再有公司在網(wǎng)絡(luò)安全上不計(jì)后果的花錢。優(yōu)化運(yùn)行的程序，無論是圍繞幾個(gè)核心平臺的咨詢或者是關(guān)鍵控制的自動化，這些巨大的投資給企業(yè)造成了很多困擾。所以，17%的調(diào)查者表示他們主要把錢花在網(wǎng)絡(luò)安全上，是為了優(yōu)化和控制風(fēng)險(xiǎn)。

云計(jì)算是一個(gè)巨大的驅(qū)動力，隨著機(jī)構(gòu)轉(zhuǎn)向云計(jì)算，他們會加入相應(yīng)的安全控制來進(jìn)行管理。隨著數(shù)字革命的進(jìn)展，自動化不斷普及，自助服務(wù)業(yè)越來越多，公司希望實(shí)現(xiàn)數(shù)字技術(shù)所能提供的一些成本效益，還需確保投入其他匹配的安全支出，尤其是網(wǎng)絡(luò)架構(gòu)和安全架構(gòu)，還有一些其他的熱門話題，在網(wǎng)絡(luò)安全領(lǐng)域，IOT機(jī)器人、保護(hù)機(jī)器人等，它們確實(shí)在調(diào)查中占有重要地位，但它們還不是促進(jìn)支出的主要因素。在構(gòu)成公司的大額項(xiàng)目方面之下，網(wǎng)絡(luò)安全程序仍然圍繞著身份和訪問管理。關(guān)于優(yōu)化網(wǎng)絡(luò)操作的主要驅(qū)動力，我談到了法規(guī)遵從性，這依舊是我們許多客戶項(xiàng)目的主要工作流程，我們試圖理解網(wǎng)絡(luò)風(fēng)險(xiǎn)并量化它，這樣就可以花恰如其分的錢對于第三方進(jìn)行風(fēng)險(xiǎn)管理，會大大減少其帶來的風(fēng)險(xiǎn)。

最后我想談?wù)劙踩僮鳌Ｗ鳛榻裹c(diǎn)，它是客戶所關(guān)心的最大的單項(xiàng)項(xiàng)目，預(yù)算約占安全支出的30%。然而，我們在這里遇到了困境，因?yàn)榘踩\(yùn)營中心非常龐大，不容易發(fā)現(xiàn)攻擊。運(yùn)營中心是一個(gè)操控中心嗎？一個(gè)尺寸適合所有的模型和外源安排是最好的方法嗎？或者我是否可以通過采購和外包的混合自動化一起會更好呢？這是客戶們的一大關(guān)注點(diǎn)。我們強(qiáng)烈建議你們考慮如何處理安全運(yùn)營中心，因?yàn)檫\(yùn)營中心也需要修改和重新審視。

總結(jié)來說，企業(yè)在側(cè)重于網(wǎng)絡(luò)安全方面發(fā)生了變化，首席信息安全官確實(shí)需要更好地與董事會溝通，有必要量化網(wǎng)絡(luò)安全上投入的資金，目前只有24%的受訪公司表示可以量化網(wǎng)絡(luò)風(fēng)險(xiǎn)。我們的網(wǎng)絡(luò)風(fēng)險(xiǎn)的成本是什么？這才是今天應(yīng)該和各個(gè)企業(yè)的董事會討論的。

如何幫助機(jī)構(gòu)提高其網(wǎng)絡(luò)安全性？我認(rèn)為董事會會考慮這些，為了確保有定期更新的管理和確保設(shè)計(jì)上的安全性，那些最大的敞開風(fēng)險(xiǎn)很有可能來自于第三方。我們應(yīng)該思考如何應(yīng)對并從網(wǎng)絡(luò)攻擊中恢復(fù)，可以建立一個(gè)巨大的規(guī)模經(jīng)濟(jì)，其中可以保障安全性，同時(shí)專注于真正重要的事情，這將真正改變企業(yè)的風(fēng)險(xiǎn)暴露和監(jiān)管合規(guī)視角。

（根據(jù)演講內(nèi)容整理，未經(jīng)本人審核）