前方高能！面对数字化转型，先将网络安全风险盘个清楚

摘要：防范网络安全风险，时刻准备着！

数字转型新时代正对企业提出新的安全考验——网络安全风险。

随着企业加快向云端迁移数据、制定新的数字化系统以及增加端点数量，有形资产与数字资产融合进一步融合，企业遭受网络攻击的风险呈指数级增长。

与此同时，网络攻击者正变得复杂，全球各国政府推出的相关监管法规不断变化，这也加剧了管理网络风险的难度。

怡安作为网络安全风险解决方案专家，于四月初重磅发布《2019年网络安全风险报告》，直击威胁企业网络安全的八方风险，将它们“盘”得清清楚楚。

技术风险：数字化转型带来了意料之外的新风险

在技术的驱动下，企业的信息传播方式早已改变，分散成数以千计的“信息即服务”。

然而，这在为企业经营带来新机遇的同时，也为网络攻击的扩展和变形提供了可能。

随着传统的“实体”公司迅速发展成为数字经济“一切即服务”（XaaS）提供商，他们也将面临潜在的全新风险，这应当引起企业的重视。

 

供应链风险：唤醒供应链安全的呼声日益强烈

供应链安全风险主要来自两个方面：

其一，网络攻击方可能通过物联网及云服务扩张掌握大量的企业运营数据。

其二，公司越来越依赖第三方甚至第四方供应商和服务提供商，这为攻击者打开了攻击其供应链的新后门。在波耐蒙研究所（Ponemon Institute）于2018 年进行的一项调查中，英国和美国有 59%的公司表示他们通过第三方遭受了数据泄露，但其中只有35%的公司认为他们的第三方风险管理计划非常有效。

由于创新加速和网络威胁倍增的综合影响，企业需要从董事会层面对供应链进行前瞻性的风险管理。

 

物联网风险：无处不在的物联网引发的风险超出公司认知

工作场所中遍布物联网设备，每个设备都存在潜在安全风险。

根据Ponemon 研究所2018 年进行的调查，52%拥有物联网的公司表示他们至少拥有1,000 台物联网设备，而调查显示出的实际均值则要高得多，超过了15,000 台。

物联网风险的根源在于大多数公司没有安全地管理甚至盘点物联网设备，许多企业的物联网设备由第三方提供和远程管理，这显然导致了风险增加。

随着5G时代的到来，物联网终端的数量将急剧上升，风险敞口将进一步扩大。

 

业务运营风险：技术在提高运营效能的同时，带来了扰乱公司安全的缺陷

许多公司越来越依赖技术管理日常业务，这种依赖会带来运营中断的重大风险。

恶意软件感染能关闭生产系统甚至电网；通过对公司数据加密，勒索软件能让业务陷入停滞。2017年，WannaCry 勒索软件对230,000台电脑发动攻击，引发全球混乱。

网络事件的破坏效应会威胁业务连续性，公司要深入理解这一潜在风险。

 

员工风险：过度授权和“影子IT”增加了来自员工的风险

我们发现，企业安全漏洞问题的常因之一是员工，这主要表现在两个方面：

其一，由于公司希望用技术提升效率，员工被赋予了过多权限。

其二，云计算强化了“ 影子IT” 问题。各部门或业务单元独立采用了新的技术但没有知会IT 管理部门，企业无法评估其安全性或强制其使用级别强的登陆验证，从而使企业暴露在未知的新风险中。

2018年的一项网络安全专业人士调查显示，53% 的参与者表示，他们所在的公司曾在过去一年经历过与内部人员相关的网络攻击。参与者对最担心哪些意外错误的选项给出不同看法，51% 的人最担心点击钓鱼链接，47%的人最担心恶意员工行为。

因此，企业建立全面的解决方案十分迫切，这包括实现强大的数据管理、通过公司沟通网络安全政策、实施有效的权限和数据保护控制。

 

兼并与收购风险：并购活动价值的增加，使得交易目标的缺陷也在大幅提升

2018 年，全年全球并购价值达4 万亿美元，达到过去4 年中罕见的最高水平。

然而，即使这些价值全部进入风险考量，很多公司并未意识到每项新并购协议都伴随极难评估的、潜在的、新式安全漏洞。

对于收购方而言，他们的难题在于尽管自身将严格管控网络安全风险，仍然无法保证被收购方也会有同样这么做。

随着交易量不断增加，相关的网络安全风险数量将快速增长。并购双方必须想出计划，以应对这一不断上升的挑战。

监管风险：对网络安全政策与执法者之间交集的管理

网络安全监管条例已随处可见，但是，不断增加且互相重叠的网络监管规则却会导致更多的网络风险——因为首席信息安全官将应接不暇。

不仅如此，了解在什么司法辖区满足什么监管要求也变得日益复杂。

欧盟的一般数据保护监管条例（General Data Protection Regulation）明确规定，对不合规行为的罚金最高可达2000 万欧元。

若以媒体对2018 年若干大型网络安全事件的报道为参考，假设GDPR发现企业有违背上述条例的行为，他们可能会面对5 亿至10亿美金以上不等罚金。

不得不说，企业陷入了“网络风险”和“网络监管及强制执行”的两难处境之间，需要对两边同时保持警惕。

 

董事会风险：董事与高管在网络安全监督方面的个人责任越来越大

管理网络风险已经成为董事和高管们的最大监督挑战之一，他们背负的个人风险也越来越大。在一些高度曝光的数据漏洞事件中，股东已经开始向董事索取赔偿。

截至本报告发出之时，大多数针对董事及高官们的诉讼以失败告终，但这种情况不会一直持续。未来，集体诉讼数量可能上升。而且，集体诉讼在数据泄露事件引发股价下跌断崖式时，发生的可能性更大。

不过，好消息是，近75% 的董事会成员表示，他们对网络安全工作的参与程度要高于一年前。

董事与高管们必须继续扩大关注，在顶层确定下强势基调，以便推动公司的网络政策与程序完善。

 

写在最后

随着数字化转型的推进，全球企业面对更大的网络安全风险，这些风险有时会以意想不到的方式出现。

简而言之：机遇越大，风险越高。

要想消解风险，上至董事会，下至供应链，从IT基础设施，到业务运行的各个方面，公司必须对快速变化的企业网络风险保持警惕。

这意味着，公司必须充分了解信息，理解风险情况，并积极采取防范措施：

共享风险智能，帮助保持整个商业社区安全，追踪找出不良方，避免遭受损失，为应对网络攻击做好准备。
 

发送邮件至 cn.marketing@aon-cofco.com.cn 获取相关报告。