史敏才
包括董事会成员和企业高管在内的高层管理人员通常可以接触到敏感信息,这使他们成为想要突破企业安全防御系统的网络犯罪分子的主要目标。高层管理人员的个人设备以及其他进入点,都是网络犯罪分子试图侵入的攻击载体。
正如首席信息安全官所知,网络事件往往包括人为因素。根据Verizon公司发布的2022年数据泄露调查报告,82 %的数据泄露涉及人为因素,其中大部分涉及网络钓鱼、商业电子邮件泄露和证书被盗。
在众多因素的推动下,一种新的风险类型正在出现,通过高度个人化的途径针对企业高管进行网络攻击。这种情况向首席信息安全官传达的信息是,企业高管的数字生活可能是企业最薄弱的环节,而不仅仅是他们在家采用公司设备和账户,他们家中的电脑、IT设备以及智能电气设备,甚至社交媒体互动都可能存在漏洞,并形成工作场所的安全风险。Black Cloak公司的首席执行官Chris Pierson说:“这意味着家庭将成为新的网络攻击面。”
首席信息安全官确保内部系统和人员到位以保护企业信息安全是一件容易的事情,但管理来自外部的风险要难得多,因为这些风险不容易控制。Pierson表示,企业高管数字生活可能是一颗定时炸弹。
根据Pierson对企业高管的建议,39 %的企业高管的个人数字生活在某个方面受到了影响。当个人生活和企业工作联系在一起时,这可能会给首席信息安全官带来麻烦,他们会发现自己在无法控制的环境中难以有效应对网络攻击。
企业高管面临的风險迅速增加,因为新冠疫情驱动的混合工作的兴起,导致员工在工作和个人数字生活之间的模糊。复杂的地缘政治紧张局势、针对企业的数字激进主义的机会(尤其是在风险较高的行业),以及针对企业高管的经济利益进行网络攻击,都增加了企业高管个人数字生活的风险。
毕马威公司澳大利亚分公司网络服务合伙人Gergana Winzer表示:“大型企业的高管以及在媒体和社交媒体上有影响力的企业高管,可能会成为网络犯罪分子攻击的对象。网络犯罪分子已经意识到,他们可以利用易于购买的在线恶意软件或勒索软件攻击那些高净值的企业高管以获利。”
Pierson表示,这类个人风险可以有多种不同的形式,其中最大的风险之一是知识产权,例如企业高管的个人设备或个人账户中的公司文件丢失,这些设备或账户的控制较少或没有控制。他说:“企业高管往往拥有复杂的智能家居系统,其中有安全摄像头和服务器,承载着大量设备和服务,这些都是潜在的切入点。”
Pierson说:“与安全控制力度更强的银行和金融机构相比,企业高管因为同样拥有高净值而更容易成为网络犯罪分子的目标。我们看到他们的个人电子邮件被入侵,个人设备被恶意软件入侵,以及遭遇其他的社交工程骗局。因此,经济利益是很多此类攻击的一个重要动机。”她表示,网络犯罪分子还将对企业高管进行恶意的深度人身攻击。企业高管的个人信息泄露(姓名、地址、电话号码,甚至个人照片和视频等)让他们容易被欺骗和利用。
Pierson补充说:“这些信息通常被用作勒索的手段,也可能造成非常严重的声誉损害,甚至是恐吓。”
专家表示,解决这些复杂的安全问题不能在企业高管、他们的家人以及与技术人员的互动之间制造更多摩擦。Pierson表示,需要缩小这些类型的账户、服务和设备的网络攻击面,并确保可以降低风险。
当首席信息安全官不能直接干预企业高管的个人数字生活时,确保他们在办公环境和硬件之外得到保护是很困难的。Pierson说:“他们希望拥有隐私鸿沟,但只是希望覆盖风险,并了解可以做些什么。”
Pierson表示,首席信息安全官需要准确地了解企业和个人这2种风险环境是如何以及在哪里交叉汇合的。他说:“可以从企业网站的‘关于我们的企业高管页面开始了解,然后弄清楚这些高管在个人生活中可能面临的最大风险,以及首席信息官可以做些什么来应对或减轻这些风险。”
Winzer表示,复杂的、协调良好的网络攻击可能不会从企业的信息系统开始,而是从攻击企业高管开始。作为一项预防措施,首席信息安全官需要对企业领导层和执行团队风险状况的变化保持警惕,这意味着要保持好奇心,并不断发现盲点。而且这些盲点可能很大———例如经常在媒体上露面、股票市场交易公开接受公众审查,或者只是知名度足以被纳入社交媒体对话的首席执行官正在为潜在的黑客攻击发出信号。她说:“作为首席信息安全官,需要意识到可能会损害企业高管以及他们在企业内工作的威胁。”
为了弥补可能从个人渗透到企业的潜在漏洞,Winzer建议首席信息安全官进行风险评估,包括确定需要保护的企业“皇冠上的宝石”。这需要评估潜在风险,包括人身攻击,并制定减轻风险的战略。
Winzer表示,这意味着要确保尽可能多的威胁或漏洞被记录下来并加以考虑,这有助于评估任何个人违规行为的可能性和影响。她说:“需要评估这种威胁对企业高管和董事会成员意味着什么,然后从哪里采取行动,这需要基于风险偏好以及企业认为需要保护的重要内容。风险缓解策略可能包括有关这些企业高管可以公开披露自己的哪些信息以及披露多少信息的政策。获得尽可能多的信息来评估威胁,将其纳入风险登记册,然后采取行动,而不是忽视它,这非常重要。因为这就是网络世界的一切,每次忽视了哪个环节,网络犯罪分子就会对这个环节进行攻击。”
除了风险评估和缓解策略,网络安全培训有助于确保企业高管的数字足迹安全。国际信息系统审计协会新兴趋势工作组的成员Steven Sim表示,企业高管和所有员工一样,应该参加专门的防范培训,包括网络钓鱼模拟练习和桌面练习。他说:“在模拟网络攻击事件引发的企业危机期间,这些演习还应让企业高管(如果可能的话)参与决策。这些应该是多年安全改进计划的一部分,如果企业还没有像往常一样实施的话,应该跨越人员、流程和技术。面对监管罚款和声誉损害的威胁,它需要扩展到数字和商业供应链以及安全社区的智能生态系统。”
Sim建议,网络威胁形势随着新技术和工具的快速发展,企业高管及其风险登记册都应不断更新。首席信息安全官必须持续衡量网络安全计划和项目的安全指标、关键风险指标和关键绩效指标,以确保交付成功的网络安全改进计划。他说,“这有助于企业满足当前的风险偏好,并为未来防范企业高管和企业面临的潜在威胁铺平道路。”
Winzer认为,在管理高管风险时,企业文化是另一个不可忽视的重要因素,这应该确保每个人都在网络安全方面承担共同的责任。在实践中,这意味着首席信息安全官必须采取全面的方法,而不是依赖补丁或培训计划。虽然许多首席信息安全官多年来一直在这样做,但她建议,要真正提升网络安全文化,需要企业高管层采取强有力的合作方式。她说:“首席信息官、首席财务官和首席执行官都需要共同努力,确保分担责任的企业文化在企业内部实施。”
最重要的是,分担责任是为了更好地理解共同的风险。她说,“如果企业的首席执行官受到网络攻击,个人数据和文件被泄露,包括有关他们身份的敏感信息或他们对企业的了解、商业秘密等,那么这就成了首席信息安全官的问题,并且不再只是首席执行官的私人问题了。如果每个人都意识到要对自己的角色和网络安全负有责任,那么就能更好地确保网络安全。”