为何公司高层难以在网络攻击中保护公司？

如今，网络攻击的数量和规模都在增加，而澳大利亚是全世界最大的网络攻击目标之一。联邦政府指出，目前网络攻击对澳大利亚经济造成的影响高达每年170亿澳元。

造成这种现象的原因很多，澳大利亚政府缺乏从战略层面上对信息安全的方向性把控和投入。澳大利亚国立大学的研究表明，中型企业的管理层和董事会对于网络风险的知识不足，而且不同公司组织的董事会对于网络安全风险的认知水平差别很大。这个现状让人非常不安，因为公司的最终负责人和决策者正是董事会。

这项报告还指出，只有58％的网络安全专业人员认为他们的董事会对网络风险有足够的了解。不到一半（46％）的网络安全专业人员表示，公司董事会很少或从来没有讨论过网络安全问题。几乎三分之一的网络安全专业人员（30％）甚至表示，他们的董事会没有收到关于网络安全威胁的报告。

剑桥大学和劳埃德银行的研究也表明，这种“不确定性”使得公司董事会在面临网络威胁的时候，很难意识到他们该如何处理危机，也不明白要放弃些什么。各个公司的董事会正在试图通过购买保险，来转移网络攻击所带来的风险。这篇报告评论道：

“在过去两年中，澳大利亚公司所购买的网络保险金额增加了168倍（16,828％），越来越多的企业都在通过这种方式试图保护其资产免受网络攻击的威胁。

这种应对网络风险的方法是有问题的，企业组织投入的努力太少了，他们不了解自己手握信息的价值，不懂得如何控制信息，也不知道它隐含的成本。

网络保险是一种涵盖了数据泄露风险，员工错误处理数据和黑客攻击的产品。它涵盖了应对网络攻击所涉及的责任和费用。举例来说，索尼的PSN网络在2011年被黑客入侵后，估计花费了1.71亿美元进行善后处理。

简单地通过购买网络保险规避网络攻击风险，并不能在反复和持续的网络攻击中，有效保护公司组织的声誉。还有另一个问题，网络攻击造成的商业机密泄露会让公司组织的竞争优势受到侵蚀，这是金钱难以衡量，也是任何一款保险产品都无法有效保护的。

我的研究表明，公司组织中的高管们应该确定组织中信息的价值和敏感性。 只有这样，他们才能就公司IT基础设施建设以及寻求外部网络专家帮助等问题做出明智决定。

然而，要想准确定位公司组织所持有的所有信息，并不像听起来那么容易。例如，一些业务对话发生在诸如LinkedIn这样的“职场社交平台”上。企业需要考虑这些发生在第三方平台上的对话是否在雇主的网络安全责任范围之内，员工的这些电子对话记录是否应该受到警告，还是应该获得网络安全方面的支持和保护。

有时候，企业组织可能会拥有大量的秘密信息（如客户信用卡）。但是对于公司组织来说，保存敏感的，但是非战略性的秘密信息是昂贵且无意义的。比如拥有电商网站的零售公司，他们可以避免记录或是持有客户的信用卡详细信息。

从商业成本的角度考虑，将货物或服务的付款系统外包给金融服务中介机构很合理。不持有信用卡信息而选择将支付功能外包出去，可以让组织本身更加安全，这样它就不用担心因为泄露信用卡信息等上报纸头条了。

但是反过来说，有时敏感信息（如信用卡信息）对于公司组织开展业务来讲是必要的。如果这种敏感信息是不可避免的，那么他们可能需要问问自己，是否在保护敏感信息上做足准备。这种考量也可以扩展到供应商或客户所使用的信息上。

如果评估结果显示公司对于安全层面的控制力还不够，那么董事会就需要制定一个商业计划以增加网络安全方面的预算。不管预算金额有多高，对于那些依赖于敏感信息开展业务的公司来说，他们必须保护这些信息，董事会也必须批准这些预算草案。

公司组织通常不能充分评估并防范与其他组织共享储存信息而带来的风险。例如与供应商，客户，监管机构和合同人员共享信息。

从供应商网络而来的攻击能够导致公司网络的高度瘫痪。举例来说，2013年12月发生的“目标攻击”是因为第三方供应商的销售点机器感染了病毒，顾客的所有信用卡细节都被泄露了出去。

董事会没有花时间去深入了解网络信息安全策略，妄想通过购买网络保险这样的简单方式就能够降低网络安全攻击所带来的所有风险。这种笨拙伎俩是不具有可持续性的，消费者们应该对公司领导层提出更高的要求。

作者：
Craig Horne,墨尔本大学博士生

本文与The Conversation联合发布，转载请注明来源并附上原文链接

翻译：世界经济论坛博客翻译小组——陈达铿

以上内容仅代表作者个人观点。世界经济论坛博客是一个独立且中立的平台,旨在集合各方观点讨论全球、区域及行业性重要话题。