本文来自微信公众号“安在”,作者/绵总。
数字生态系统指的是由多种异构的数字主体和多重复杂关系构成的使用系统,通过多种数字主体之间的联动,可以提高系统工作效率,促进信息同享、主体内部或主体之间的合作以及创新等等。数字生态系统也是企业数字化转型的成果,通过建立和参与新兴的数字生态系统也让许多企业看到了其所带来的未来收入和巨大前景。然而,大多数公司并没有充分考虑到这些生态系统固有的风险和威胁。根据TCS风险与网络安全研究,数字生态系统中的网络威胁可能是企业的盲点。
数字生态系统是动态的、敏捷的、交互式的、无边界的、多模式的和去中心化的,这也导致这一系统往往具备多个看门人和参与者。换言之,数字生态系统为黑客提供了一个目标丰富的环境,通过针对这些目标展开攻击,黑客可以轻易窃取或利用敏感数据,甚至是破坏组织的运营结构。
因此,你所在的企业是否意识到这些风险?是否了解数字生态系统安全的潜在成本?在数字化转型的当下,不少公司受制于行业特点,在改革安全程序、制定新政策和技术以及缩小差距等方面是不均衡的,拙劣的,这也导致其数字生态系统的安全性岌岌可危。对此,塔塔咨询服务公司网络安全业务部门全球负责人Santha Subramoni讨论了数字生态系统的安全以及企业如何降低其数字生态系统内的风险。
数字生态系统带来系统性风险
数字化转型代表着组织和整个行业进行广泛、多模式和系统性的转变。当营销、供应链和其他业务转向纯数字平台时,它们会极大地改变公司在市场上的机会。企业数字化转型的结果是创建了数字生态系统:大型、经常变化的多人空间,在这里共享信息,开展业务,并将供应商联系在一起。
然而,数字生态系统不仅为组织发展提供了机会,也为黑客提供了机会。数字生态系统使公司系统面临更多的网络威胁和外部攻击,从而失去例如对知识产权的控制,甚至是企业的生存状态。黑客攻击和网络威胁的例子很多,这个问题应该得到足够的重视和关注。
实际上,目前仍有许多组织对数字生态系统固有的风险准备不足。通常情况下,组织往往因为什么都不做或做了错误的事情而承担重大风险。例如,在制造业和技术领域,企业会经常与其全球生态系统合作伙伴或供应商共享知识产权,但经常会陷入与此类共享相关的风险,或未能执行旨在降低这些风险的必要控制措施。造成这一问题的原因并非不够重视或能力不足,而是体量过于庞大。组织有太多的供应商需要合作和跟踪,但由缺乏可持续、可重复和有效的流程和框架,从而无法降低其数字生态系统的风险。
将网络安全嵌入到数字生态系统中
许多传统制造业企业在当下正在寻求数字化转型,他们往往会通过建立数字化系统,投资智能工厂等方式提高效率,缩减成本。然而,如果在这个过程中不重视或是未提前将网络安全因素嵌入到组织的数字化转型架构中,就无法规避相关风险,同时也无法实现对数字生态系统的保障。
连接所有需要连接的东西是物联网实现智能工厂的基础。随着连接设备的不断增加,攻击面也在不断扩大,这使得数字生态系统的安全在智能工厂环境中变得更加重要,更值得高层关注。例如,如果一家汽车制造商的数字生态系统中,即便只有一家小型供应商受到攻击,都会影响到整个组织的生产和运营。
同样,对于航空业来说,虽然它并不是网络攻击的新受害者,但它却拥有更广泛的生态系统参与者——客户、聚合门户网站、机场连接网络、发行信用卡的银行等等,他们的存在使威胁暴露成倍增加,任何端点受到攻击都会造成业务的阻滞。考虑到航空公司可以访问的个人身份信息的数量,任何安全漏洞都可能影响全球数百万人和企业。
即使在信息安全方面更为先进的行业也存在漏洞。例如,在银行业、金融服务业和保险业,监管机构对这些行业的力度很高,行业内存在的风险和相关利益也比较清晰,但即便如此,很多网络安全解决方案仍然无法得到有效实施。近年来,金融科技供应商正在崛起,他们为金融机构提供解决风险的安全方案,同时也会要求其关注尽职调查和安全检查。(这是他们赶超金融科技供应商的主要原因。)
在其他没有重大监管风险的行业,他们普遍不存在没有采取适当措施的紧迫感,他们往往会关注和重视网络威胁,但经常会忽视造成风险的另一个原因——组织内部。组织同自己的团队、合作伙伴、上游供应商和下游供应商互动的过程中,会因为没有采取安全措施从而导致安全事件。
主要风险的类别
在任何去风险框架中,人们必须假设网络威胁的最大来源不是那些闯入者,而是那些为不速之客敞开的门。组织必须相应地调整其状态、流程和资源。他们需要确定主要风险包括:
■缺乏治理和问责制:在许多组织中,缩小风险差距的责任落在几位领导人身上,而不是某一个权力点。然而,数字生态系统涉及企业的多个维度,所以这种举措势必会带来失败。缺乏问责制就会缺乏采取行动的权力,并无法将降低风险作为组织内的优先事项。
■未能正确确定风险的优先级:如果不了解业务的背景,就很难有效地理解和补救风险。例如,外部供应商可能是潜在的风险来源,但在业务中发挥着关键和核心作用,因此,在处理这类供应商的风险问题可能需要特别处理和注意。同一组织的其他供应商可能不会发挥类似的核心作用,因此,处理他们的风险可能是一个简单的问题。各组织应根据特殊情况进行特殊处理,并尝试为不太重要的实体创建系统化和自动化的方法。太多的组织没有考虑到内部环境,因此不知道在哪里优先考虑他们的工作。
■未能采取基本政策:令人惊讶的是,许多组织在网络威胁方面没有简单的协议和政策。这种失败意味着每一个风险都会得到看似精心策划的、实则代价高昂的应对措施。但是,简单的去风险规则可以在没有大量讨论或辩论的情况下提供大量的、有效的保护。例如,医院在减少医疗事件所建立的检查表,通过对多项医疗器械、措施的审查,就可以有效的降低手术风险。同样的,组织可以通过流程化或自动化的方法来消除一些最常见的错误,从而解决网络风险的来源,并使风险专业人员将注意力集中在风险和威胁的特殊来源或“黑天鹅”事件上。
■缺乏资产清单:当组织处于风险或危机中时,往往会首先对其数字资产(如知识产权)进行升值。这是站不住脚的,也是不切实际的。实现有效防御的第一步是了解你所防御的目标的价值,并相应地进行投资。然而,在涉及数字资产、知识产权、客户信息和其他关键要素时,太多组织未能执行适当的资产发现框架。
■未能对风险进行评估:即使组织评估其生态系统的风险来源,也不一定能够遵循明确的行动路径。对供应链中潜在风险进行评估可以让生态系统的每个子部分确立自己在解决安全风险时的地位和优先级,并根据不同的优先级采取不同的安全措施。这应该由标准的风险计算机制客观地设定。
■地理敏感性:北美和欧洲的组织对数字生态系统风险和威胁的敏感性相较于远东和亚洲地区,要更强一些。因此,对于跨国公司来说,与亚洲和远东地区的组织合作需要更加关注,因为这类组织的业务横跨多个主要区域,监管机构的要求也并不统一。即便如此,组织都必须在生态系统风险评估和补救框架方面达到相同的高标准。
降低风险的几个步骤
当下,寻求解决数字生态系统相关风险的组织必须采取一种破釜沉舟的态度。要知道,风险和风险是不同的,某些风险可以通过自动评估和缓解来大大减少,但与数字生态系统相关的风险,由于其与业务核心联系得更加密切,需要得到更多的重视。
采用系统方法降低数字生态系统风险的组织将对这些风险的性质有更深刻的认识,并将能够建立一种更全面的方法来主动抵御威胁。以下是可以采取的降低企业风险的一些基本步骤:
■执行一个世界末日场景:没有什么能像可视化系统和策略更能阐明风险的性质。通过对每个潜在威胁源、地理位置、独特漏洞以及最佳威胁情报所提供的任何其他信息进行上下文分层,可以对风险设置一个“世界末日”优先级排序。评估组织中最有价值和最脆弱资产的潜在损失,并从中制定防御和缓解策略。
■制定一个“燃尽”计划:制定一个减少大量漏洞的“燃尽”计划表,虽然看起来不太现实,但做起来会非常有效果。某一家TCS支持的美国制造业企业在一年内将漏洞减少了70%,其背后原因就是将“燃尽”计划纳入整体安全战略的一部分。
■自动化:自动化的评估和风险管理方法虽然不广泛,但可以有效地减少威胁环境。组织可用的大多数解决方案都依赖于定制的方法;然而,自动化是唯一符合当前威胁的数量和动态性质的策略。
■部署优先方法:由于解决漏洞的工作无法以相同的强度完成,因此将工作分解为特定的可评分参数:共享IP、共享个人数据(个人身份信息、个人健康信息和支付卡行业数据)、数据量,以及关于支付或意外发布此类数据的规定。这些参数可以表明工作的优先级,因为它们很可能代表了风险相对更加严重的问题。
■制定工作时间表:应通过外部风险评分解决方案制定持续监控协议。与此同时,任何关注这些问题的人都不可能一直关注相同的风险来源。因此,制定一个时间表,以确定何时评估供应链和其他生态系统参与者的脆弱性。
■采用动态评估:考虑到风险的动态和变化性质,将风险评估常态化是不明智的。相反,组织需要建立动态和不可预测地测试数字生态系统的系统,并进行持续的监控和拦截。
■创建与政策和协议绑定的框架:这些框架可以借鉴ISO/IEC 27001和NIST开发的行业框架。这些框架将包括组织风险管理系统中的所有法律、物理和技术控制——至少,这些为个性化框架提供了坚实的基础。
专家观点
乐信集团信息安全中心总监刘志诚表示,数字化转型的需求与ICT基础设施技术的发展,以及数字化转型的组织结构变革,组织的安全风险的治理,同样面临着巨大的挑战和机遇,安全自身的数字化是一方面,基于安全数字化提升安全风险治理的效率,降低安全治理的成本是组织安全团队面对的一个课题,自动化未必是唯一的良方,但一定对风险治理降本增效起到重大促进作用。
某研究机构表示,时至今日,网络安全无疑已经成为数字化转型过程中企业组织必须面对的核心要素,因为数字化转型技术一旦无法保护业务、客户或者其他关键资产,就会变得毫无意义。同时,在复杂的基础架构、大规模的运营,以及愈加严峻的安全形势下,组织依然需要对敏捷性、灵活性和快速决策的数字化转型能力不懈追求。
中国工程院院士、中国互联网协会咨询委员会主任邬贺铨表示,现在很多企业都开始进行数字化转型,我们不可能要求所有的中小企业配备网络安全人才,以及配备很强的网络安全防御的产品,这种情况下就需要依靠第三方提供网络安全服务。目前有些网络安全企业已经这样做了,接受了具体企业的委托。对于这些网络安全企业来说,这不仅仅是服务一个企业,而是根据被服务企业所积累的经验,继而可以服务上万企业。这样既节省了人力,也提升了对网络事件的感知,一定程度上实现了网络安全威胁情报的共享。
结语
组织数字化转型势必会推动着数字生态系统的建立,数字生态系统的安全决定了组织数字化转型的程度和状态。当外部威胁已经得到足够的重视后,也不要忽略来自内部的安全威胁。将供应链上的所有合作伙伴的安全能力拉齐是个很艰难的问题,这需要组织建立一个自动化、流程化的解决方案,解决所有已知的,影响不大的安全威胁,从而让安全人员有更多的精力去针对潜在的,高危的安全风险。