网络弹性之路助力全球网络安全健康发展

Richard Watson

我们要真正的基于风险考量来建立自己的网络安全程序，而不是希望用最小的付出来满足监管的要求。

大家好，我是Richard Watson，EY亚太区网络安全领导，很高兴能在今年的世界计算机大会上在线作演讲。考虑到此次主题是“网络安全和可信计算”，我希望能在此分享EY公司与亚太地区的公司就网络安全展开合作而得来的见解。

我们的业务范围从日本到亚洲再到新西兰，与一些领先的私人企业、商业以及政府合作，他们都非常关注如何改善自身的网络安全状况，如何改革其组织中已有的网络安全。当然，这是他们应对所面临的持续且重大的环境威胁而作出的反应。

每年我们会为客户做网络安全调查，我们称之为全球信息安全调查，2020年，由于新冠肺炎疫情的影响，我们做了两次调查，目的是了解机构、公司是如何看待威胁和变化的。45%的受访者在此次全球信息安全调查中表明，他们部署了新系统来帮助员工远程工作，从而在疫情中继续他们的运营。但他们60%的系统跳过了真正关键的网络安全测试步骤。所以，我们现在可见到为了应对疫情，新系统数量迅速部署且不断增长，但其安全问题却被忽略了，这增加了企业所面临的威胁。

一方面，我们遇到的破坏性攻击，尤其是勒索软件的攻击，EY全球信息安全服务的受访者表示达到了59%，攻击数量不断增长，在如今大多数人仍在远程工作的大背景下，这是一个令人担忧的问题。另一方面是对第三方的担忧，很多企业仍然没有完全了解一个问题：通过和第三方的接触而暴露的网络安全和威胁，往往发生在程序设置中，这些设置用以持续调控第三方，而了解组织机构的网络力量可以进入系统数据和信任的重要操作中，因此改善和理解其他第三方的状况至关重要。

我们如何看待客户对威胁的反应？我们需要问一个问题：你们的网络安全投资动力是什么？客户在网络安全上投资的第一大原因无论大家惊不惊讶，实际上法规的遵从性仍然是驱动力。亚太地区机构的网络安全投资占多数，我们的调查者中18%的客户表示他们在网络安全上花钱的首要原因是遵守法规。现在可以从两个方面来看这个问题。一方面仅为了监管需要而建立网络防御，可被视为用最小的付出就能满足监管的要求。当然，这并不符合我们推荐的真正的基于风险考量构建自己网络安全程序时采用的初衷。但另一方面，这是让首席财务官在网络安全上花钱的手段，因为监管的要求至少能推动机构构建成熟网络，规章制度似乎是让机构完成事情的最好方式。

客户在网络安全上投资的第二大原因是为了优化风险和控制。我们看到了一些变化，不再有公司在网络安全上不计后果的花钱。优化运行的程序，无论是围绕几个核心平台的咨询或者是关键控制的自动化，这些巨大的投资给企业造成了很多困扰。所以，17%的调查者表示他们主要把钱花在网络安全上，是为了优化和控制风险。

云计算是一个巨大的驱动力，随着机构转向云计算，他们会加入相应的安全控制来进行管理。随着数字革命的进展，自动化不断普及，自助服务业越来越多，公司希望实现数字技术所能提供的一些成本效益，还需确保投入其他匹配的安全支出，尤其是网络架构和安全架构，还有一些其他的热门话题，在网络安全领域，IOT机器人、保护机器人等，它们确实在调查中占有重要地位，但它们还不是促进支出的主要因素。在构成公司的大额项目方面之下，网络安全程序仍然围绕着身份和访问管理。关于优化网络操作的主要驱动力，我谈到了法规遵从性，这依旧是我们许多客户项目的主要工作流程，我们试图理解网络风险并量化它，这样就可以花恰如其分的钱对于第三方进行风险管理，会大大减少其带来的风险。

最后我想谈谈安全操作。作为焦点，它是客户所关心的最大的单项项目，预算约占安全支出的30%。然而，我们在这里遇到了困境，因为安全运营中心非常庞大，不容易发现攻击。运营中心是一个操控中心吗？一个尺寸適合所有的模型和外源安排是最好的方法吗？或者我是否可以通过采购和外包的混合自动化一起会更好呢？这是客户们的一大关注点。我们强烈建议你们考虑如何处理安全运营中心，因为运营中心也需要修改和重新审视。

总结来说，企业在侧重于网络安全方面发生了变化，首席信息安全官确实需要更好地与董事会沟通，有必要量化网络安全上投入的资金，目前只有24%的受访公司表示可以量化网络风险。我们的网络风险的成本是什么？这才是今天应该和各个企业的董事会讨论的。

如何帮助机构提高其网络安全性？我认为董事会会考虑这些，为了确保有定期更新的管理和确保设计上的安全性，那些最大的敞开风险很有可能来自于第三方。我们应该思考如何应对并从网络攻击中恢复，可以建立一个巨大的规模经济，其中可以保障安全性，同时专注于真正重要的事情，这将真正改变企业的风险暴露和监管合规视角。

（根据演讲内容整理，未经本人审核）