Cybersecurity

转变观念,应对新一轮的供应链网络攻击

企业需要一种韧性文化来保护其数字供应链。 Image: Getty Images / iStockphoto

Dani Michaux
EMA Cyber Leader and Head of Cyber Security, KPMG Ireland
分享:
我们的影响力
世界经济论坛为 加速 Cybersecurity 行动做了什么?
全局信息
探索和追踪解决之道 网络安全 正在影响经济、产业和全球问题
A hand holding a looking glass by a lake
众源式创新
现在加入 ,用我们的数字众源平台来实现大规模的影响力
实时追踪:

网络犯罪

  • 随着大流行期间不断变化的需求,数字生态系统得到了扩展。
  • 当前网络攻击正在增加,通常表现在数字供应链的供应链上。
  • 各组织必须彻底改革其风险评估程序,并扩大其网络安全策略的范围。

在过去的一年中,我们看到了新冠病毒影响所带来的重大地缘政治变化,迫使组织强化其韧性。 人们也已经意识到,我们曾经熟知的世界已经发生了变化。

我们能够看到,一种新的运营模式正在出现,它基于各种正在进行的重组活动、加速推进的数字化计划、替代性合作伙伴关系模型,以及对于核心活动的关注。随着组织的发展,重要的是要反思和考虑在这些重大变化中可能出现的风险。

这些挑战中最为突出的是要保护新的数字生态系统,以抵御网络攻击和信息基础设施的崩溃,从而支撑起这些转变。

2020年,数字世界仍在转型

网络安全是实现第四次工业革命的关键。新冠病毒疫情加速了这一革命,在公共部门和私营部门中推进数字技术和云技术的使用——当前这些技术对我们的社会来讲至关重要。

可悲的是,这场流行病还表明,有组织犯罪在利用这些特殊事件获取经济利益方面是反复无常且无情的。因此,在这波动的一年中,我们目睹了在私营企业、政府和社交媒体平台上源源不断的网络攻击。

不过,令人鼓舞的是,你可以观察到各个组织在困难时期推出强大数字基础架构的速度,以及在业务、技术和安全团队之间的协作以保护这些快速部署的服务。这向我们展示了这些通常相互孤立的各方如何能够进行有效合作,以市场所特有的高速度实现安全创新。

新冠病毒疫情使首席信息安全官(CISO)的职权范围有了新的拓展。 突然间,他们必须关注如何有效管理数千个家庭工作站点和个人设备,以及实现向云端平台的快速迁移。首席信息安全官已从保护公司的IT边界,转移到了对企业安全性的更广泛了解。

在满足快速变化的业务需求竞争中,许多云迁移项目的时间范围已从数年缩短到数月。 超大规模云提供商逐渐占主导地位,并专注于安全性。

数字供应链正变得越来越复杂。 Image: 剑桥大学

供应链攻击的兴起

政治和商业领袖已经意识到许多关键功能在全球范围内的相互依存性以及跨境供应链所蕴藏的风险。新冠肺炎大流行下,这些模糊的操作和系统性风险成为现实,迫使人们停下来好好思考这一问题。

供应链攻击并不新鲜。但是,在新的高度数字化和互连互通的世界中,它们正变得越来越重要——频繁的供应链攻击引发了对企业组织能否保持韧性的担忧。

所有这些攻击的一个共同点是硬件、服务或软件的第三方提供商的在场。在复杂的基础架构中,快速适应新环境的需求以及对第三方供应商过度依赖的现象十分常见。

第三方提供商的目标是要获取更大份额。在安全性问题上的实现方案上,各家的方法和持续时间并不相同,但是有一些常见的模式——包括利用快速部署的方式来应对挑战,以及通过迅速转向新技术来寻找安全控制方面的隐患。

我们可以从诸如石油和天然气等部门中汲取经验教训,在这些部门中,人员的安全是企业管理议程的重中之重,而其中蕴含的假设正不断受到挑战。它始于这样的命题:您不能假设发生重大事件时,所有的对策都会起作用——这就是为何所有组织都应该具备应变文化。这是运营韧性的广泛问题,而不仅仅是IT系统和组织安全性的问题。

不同的风险评估心态

当我们展望高度数字化和可扩展环境的未来时,韧性将位居首位,没有任何妥协的余地,并且它也可能要依赖于端到端供应链的稳定性但是,这也将要求我们转变关于数据安全的观念。

我们需要继续寻找确保网络安全的机会,推进围绕劳动安全的机器人流程自动化,实现IT关键工作流程的更多集成,以及新的托管服务和交付模型。第三方安全可能还需要新的模型来进行更为动态的风险管理和评分,包括更好地跟踪供应链压力。

当然,当服务商希望能够提供证据,来满足无数客户关于其网络安全的质疑时,平常的SOC 2和ISAE 3402评估体系可能会发挥作用。但是,我们也可以期待看到“效用模型”的兴起,在这种模型中,中介组织将客户的保险要求汇总在一起,以对供应商的网络安全进行“一刀切”式的评估。

在过去的几年中,还涌现了一批新公司,其业务基于扫描客户的互联网服务,监视互联网阴暗角落中的数据泄露,并提醒客户其正在使用的供应商可能存在的潜在问题——客户可能不知道这些风险的存在,或供应商尚未披露这些风险。

随着非核心业务服务外包化的加速发展,有一个问题值得在此提出:您是否真的充分重视自己对第三方服务的依赖,而这些第三方对于您的企业安全性和韧性而言是不是不可或缺的?

在展望未来时,组织应从仅考虑企业防火墙,防病毒软件和修补策略,转变为考虑安全性的整体方法,而安全性方法的前提是公司的成功取决于其声誉——成功与否取决于客户信任与否。

这种心态引领我们将安全性嵌入到公司的产品和服务之中,但更重要的是,它着重于保护客户以及客户和那些日益重要的供应链直接的合作伙伴关系。它强调了当客户将其最敏感的数据共享给您,或表明愿意依赖您的服务时,他们对您的信任。

没有组织是一个孤岛,我们所有人都是一个日益紧密联系的世界的一部分。在那个世界上,对供应链和生态系统关系的信任会比以往任何时候都重要。

本文作者:

Dani Michaux,EMA网络主管兼毕马威爱尔兰网络安全主管

本文原载于世界经济论坛Agenda博客,转载请注明来源并附上本文链接。

翻译:陈达铿

编辑:王思雨

不要错过关于此主题的更新

创建一个免费账户,在您的个性化内容合集中查看我们的最新出版物和分析。

免费注册

许可和重新发布

世界经济论坛的文章可依照知识共享 署名-非商业性-非衍生品 4.0 国际公共许可协议 , 并根据我们的使用条款重新发布。

世界经济论坛是一个独立且中立的平台,以上内容仅代表作者个人观点。

分享:
World Economic Forum logo
全球议程

每周 议程

每周为您呈现推动全球议程的紧要问题(英文)

立即订阅

你可以随时使用我们电子邮件中的链接取消订阅。 欲了解更多详情,请查看我们的 隐私政策.

更多关于 Cybersecurity
查看全部

Quantum Security for the Financial Sector: Informing Global Regulatory Approaches

关于我们

会议

媒体

来自论坛的更多内容

合作伙伴和会员

  • 加入我们

语言版本

隐私政策和服务条款

© 2024 世界经济论坛