网络风险中的猫鼠游戏：生命科学和金融行业洞察（上）

全球各行各业正面临着网络安全和数据泄露事件激增带来的严峻挑战。怡安最新发布的《全球风险调研》指出，网络安全是各行业当前面临的首要风险。1无论是行业巨头还是初创企业，都面临着商务邮件泄露、供应链中断和勒索软件攻击等网络风险。市场格局瞬息万变，企业在探索数字化带来的灵活高效和市场先机的同时，也需要完善网络可视度和安全管控的坚固防线，这也使得风险管理变得更为复杂。 无论是出于合规要求、提升竞争力，还是为了应对环境危机而加速数字化转型，企业都应审视自身的数字化能力和网络韧性，力求降低因企业变革带来的风险敞口。对于那些数据泄露风险尤为突出的行业而言，监管压力和品牌声誉受损的风险使其必须具备较高的网络成熟度，这也促使企业不断升级数字基础设施和安全管控体系，从而防范日益狡猾的黑客。 但是，当企业在数字化的道路上走得太远太快时，其业务结构可能会高度依赖错综复杂的供应链网络，无形中扩大了网络风险敞口。特别是那些依赖众多外部技术伙伴和第三方供应商来实现数字化加速转型的企业，其面临的网络风险更为严峻，需要企业长期采取有效措施积极管理风险。全球新冠疫情和地缘政治风险等不确定外部因素不仅加剧了网络风险，还可能促使数字化转型项目加速推进，对数字化基础设施薄弱、网络成熟度较低的企业构成更多威胁。 本文将分为上下两篇，在上篇中，我们将探讨网络风险对于生命科学和金融行业的影响，希望能为行业决策者带来洞见与启示。

 

生命科学行业：安全是最好的解药

自2020年以来，《财富》世界500强排名前20位的制药企业数据泄露事件数量显著攀升²

生命科学行业依托于复杂的全球供应链、分析和临床研究机构，因而其核心数据也更容易成为网络攻击的目标。

保护敏感信息和知识产权是生命科学行业最关心的问题，而这些风险可能来自于内部人员、黑客，以及勒索软件攻击。加之近年来行业并购潮带来的系统整合需求，生命科学行业还面临着数据迁移方面的安全风险。值得注意的是，网络风险的影响远不止于企业的财务绩效，还可能危及到依赖即时或持续运作设备（如：起搏器和胰岛素泵）患者的生命安全。

对于生命科学行业来说，这些问题并不陌生。许多行业领先的企业已经启动了大量对网络安全的投资，涵盖尖端技术工具、人员培训、流程开发及资源配置等多个维度。但是，对于希望保持领先的企业来说，仍有许多工作要做。

红队测试、对手模拟，以及传统的渗透测试等服务可以模拟真实的网络攻击，帮助企业在风险实际发生前做好充足准备。同时，企业新引入的安全管控措施必须经过严格的测试和评估，确保其有效性。此外，我们还建议企业进行内部人员风险评估，以识别和降低因内部潜在威胁而带来的网络风险。

 

金融机构：对核心数据采取严密措施

在通货膨胀、气候危机和全球经济放缓的多重影响下，金融业管理者已将网络风险视为金融机构和银行体系面临的首要风险。¹

金融行业对于提升网络安全的迫切需求源自其业务本质——海量敏感的个人身份信息及核心财务数据均以电子方式存储，这就要求金融机构严格遵循行业监管要求，对隐私数据实施更为严密的保护。受到网络攻击和从业者违规行为的影响，金融机构需要构建更为严格的网络安全防护体系及事件响应机制。³企业应持续监测并严格遵守行业监管要求，不断完善网络安全措施，以在符合当地法规要求的同时，保护好敏感数据。

尤为值得注意的是，对于金融机构而言，网络事件所引发的声誉损害风险，其潜在影响甚至超越了监管处罚风险。毕竟，确保资产安全是银行价值主张的基石。除了实施传统的安全管控之外，行业领军企业紧跟网络安全趋势，在严格遵守行业监管要求的同时，筑牢资产安全防线。另一方面，追求创新的金融机构正积极采用基于云端的解决方案。但是，将资产数据从企业内部迁移到云端或SaaS服务，可能加剧网络安全和数据泄露风险。⁴

任何技术创新都伴随着双刃剑效应。数字化转型和对应的网络安全解决方案在提升消费者体验的同时，虽带来了诸多便利和优势，却也潜藏着新的风险。金融机构需建立定期评估机制，应对云基础设施的安全隐患，并开展第三方评估，以全面审视供应商、服务提供商和合作伙伴的网络安全管理措施。通过持续评估和优化网络安全解决方案，金融机构不仅能够有效管理网络风险，更可将其转化为提升整体网络成熟度的宝贵契机。

在下篇中，我们将聚焦网络风险对于科技、媒体和通讯与农业、食品饮料行业的影响，以及企业在规划网络安全管理机制时应当重点关注的问题，敬请期待。

 

联系我们

如需获取更多信息或有相关需求，请扫描下方二维码，我们将尽快与您联系！

---

免责声明：

本文来自怡安集团。本文件所含信息仅用于一般性目的，并不针对任何个人与实体。我们始终致力于提供准确、及时、来源可靠的信息，但我们无法完全保证本文件所含信息在被用户接收之时以及未来仍旧绝对准确，也不对任何可能依赖本文件的人以任何方式产生的任何损失承担任何责任。我们不能保证本文件中包含的信息在收到之日仍然准确，也不能保证将来继续准确。任何个人与实体不应在缺少合适的专业建议与针对性调研的前提下仅基于本文所含信息做出决策与行动。

 

引用来源：

1 Aon’s Global Risk Management Survey
2 Aon’s Managing cyber risk in Life Science organisations – a survival guide
3 New York State Seeks to Raise the Bar on Cybersecurity for Financial Services Providers, Including Certain Fintech and Cryptocurrency Companies, Lexology, November 2022
4 Cloud computing dependence imperils banks, FT, November 2022