来源:倍可亲(backchina.com)
你在黑客面前的暴露面积,随着“万物互联”的发展而越来越大。过去12个月每家中国企业平均监测到1245起信息安全事件,虽然不到全球企业均值的1/5,但同比增幅高达517%。
今年7月,克莱斯勒大规模地召回140万辆汽车,原因并不在于配件隐患,而是车载软件中潜藏的安全风险。
这家美国著名汽车制造商旗下的一辆Jeep自由光因被黑客远程入侵而失灵,直接从高速公路翻入一旁的沟渠里。3个月后,厄运落到奥迪TT身上。黑客在汽车自身搭载的第三方软件中找到漏洞,进而一举攻破了安全气囊系统。
在各行各业争相拥抱物联网的时代,被捅出安全漏洞的远不止车企。2013年,网络安全公司赛门铁克的统计数据就显示,全球平均3.2家制造企业中就有一家遭遇过黑客攻击。对于普通大众而言,小到运动手环,大到智能家居都可能是黑客的下手对象。原因很简单:当人们对数字的依赖与日俱增,日常数据、信息、知识交流愈加频繁,几乎所有物品都可能暴露在网络攻击的危险中。
根据国际数据公司IDC(International Data Corporation)预测,到2020年底会有超过2120亿台设备与互联网接通,传输数据量将超过3千万兆数据。相应地,数据盗用风险会成倍增加,并且会离百姓的日常生活越来越近。“万物互联”更为致命的一大副作用在于牵一发而动全身,某一环节的差错可能导致全盘信息统统泄露。
尽管如此,大部分企业尚未做好准备。普华永道在12月8日发布的《2016年全球信息安全状况调查》显示,仅36%的受访企业已做出相应的安全策略。这一比例在中国内地及香港企业稍高,但也只有44%。
抽样调查结果显示,全球每家受访企业在过去12个月中平均监测到6853起信息安全事件(普华永道注:任何威胁计算机安全方面的不利事件),同比增长38%。中国企业的这一数字为1245起,虽然不到全球均值的1/5,但同比增幅高达517%。与之对应的则是巨额财务损失,中国企业因此原因而造成的平均亏损额在一年之间上升了10%,达到263万美元。
无论在哪个行业,客户数据、内部信息和知识产权成为网络攻击主要锁定的目标。9月17日之后的那个周末,苹果在中国爆发了有史以来最大的安全危机。因为iOS应用开发者们的开发工具“中毒”,大量用户常用的知名应用被曝光感染木马。就在这份报告发布的前两周,香港电子制造商伟易达被黑客攻击,约500万的客户账户信息遭到窃取,其中包括大量儿童档案。
在中国企业中,例如上述针对客户数据的信息安全事件数量在一年之间上升64%,远高于全球35%的平均增幅。
与上一年调研结果相似,企业内部人员被认为是网络安全的最大威胁来源。50%的中国受访者将检测到的安全事件归因于现有和离任雇员,但其中42%的内部攻击来源模糊,无法判定是由当前或是离职内部人士所为,这一比例远超出全球23%的均值。
2014年,普华永道发现由于大多数公司没有设立内部威胁机制,因而防范、侦测,甚至应对根本无从谈起。对于造成信息安全问题的内部员工,公司通常只采取内部处理的方式,没有案底记录,这为员工未来的新东家埋下潜在隐患。
意识到这一点的中国企业纷纷加大了2015年信息安全预算,均值达到790万美元,同比增长了16%,且远超出全球企业510万美元的平均水平。这笔资金主要用于信息安全硬件与软件设备、服务、教育以及相关人员投入。
为应对信息安全事件的不断升级,企业也在多方尝试以求改善,例如更积极主动地采用信息安全框架(如ISO27001)、增强外部合作、雇佣首席信息安全官(CISO)、首席隐私官(CPO)等相关高级管理人员。与全球企业相比,中国企业高管更愿意采用外部合作模式,其主要方式是把网络安全监控外包给专业机构或是托管给云服务商。企业可以更好地专攻核心业务,也能了解来自信息安全行业更为权威的做法。
普华永道的建议是——企业应该搭建并实施稳健的安全控制系统,快速识别来自内部的安全威胁,提高安全管控能力;将网络安全融入企业的战略层面,制定如物联网等新技术的发展计划;结合即将出台的网络安全法,把信息安全渗透到企业关注的各领域。