英國電信與畢馬威警告企業預防網絡安全陷阱
單是投資於 IT 安全產品已不再是應對網絡犯罪的完美解決方案
隨著 WannaCry 及 Petya 等全球性勒索軟件攻擊日益猖獗,英國電信( B T ) 與畢馬威( KPMG ) 發佈一份新的網絡安全報告。該報告為不同規模的企業如何以最佳的方式管理網絡安全以及如何將其轉化為商業機遇提供切實可行的建議。
該報告強調,在維護網絡安全開始階段,對於防火牆及病毒防禦軟件等的技術投資是必不可少的「萬全」做法,但企業應避免不加思索就在IT 安全產品上投放過多的資金。對於那些已經從「否認」階段進入持續「擔憂」階段的企業而言,這個問題尤其重要。因為他們將投資最新技術視為最佳解決方案。這種誤解十分常見,這樣一來企業不僅會成為網絡罪犯的目標,亦會被瘋狂的 IT產品銷售人員盯上。
該份名為《網絡安全之旅——從否認到機遇》(The cyber security journey – from denial to opportunity) 的報告指出,企業在處理確保數碼企業安全的複雜情況時,應警惕各種危險陷阱。通常企業會陷入兩個極端,一是「否認」及「擔憂」,一是「盲目自信」,最終導致「慘痛一課」。
企業一定要首先參照最佳實踐,如英國國家網絡安全中心(NCSC)發佈的指引,評估他們當前的控制程度,從而幫助發現任何漏洞及優先考慮投資的重要領域。此外,機構中的所有人(從董事會開始)必須承擔起維持高標準網絡衛生的責任,同時企業亦必須投資培訓去提升員工的網絡安全意識。這有助於將本是安全鏈上最薄弱點的員工轉化為每個企業保護數據的最大資產。
英國電信安全部行政總裁Mark Hughes 表示:「最近全球範圍內的勒索軟件攻擊顯示出驚人的傳播速度,即使是複雜程度最低的攻擊亦迅速在全球傳播。許多機構本能透過維持較高標準的網絡衛生和做好基礎工作而免遭攻擊。這些全球性事件提醒我們每一個企業,大至跨國企業,小至專營商及中小企業,都需要重視IT資產、人員以及流程的安全管理。這份報告旨在為企業的網絡安全之旅提供指引,確保數碼企業的安全。」
畢馬威網絡安全實踐技術總監 David Ferbrache表示:「最近一連串的網絡攻擊讓企業重點關注網絡風險,並且正在進行相關投資。企業需要避免採取應激性措施,因為網絡安全是一個過程,不可能一以貫之,並且做好補丁及備份等基礎性工作亦很重要。同樣重要的是,構建網絡安全文化,提高員工安全意識,並牢記安全須推動業務,而非妨礙業務發展。」
「網絡威脅正在持續演化,企業面對著無情的網絡罪犯。已不存在專業術語『銀色子彈』所指的完美解決方案,而是依賴於現今商業邊界日益消失的世界中所有企業的努力。隨著罪犯發現網絡安全薄弱環節的方法層出不窮,未來首席資訊安全官需要重視數碼風險,幫助企業把握機遇,構建網絡彈性。」
儘管網絡安全問題在今天的董事會層面日益受到重視,但該報告指出這些討論太少,而且被視為一個單獨及與更廣泛的操作風險脫節的事件。普遍情況下,網絡安全問題並未被納入整體業務策略中。
該報告亦稱,過度複雜的 IT架構可能會加劇安全漏洞。如果部署的技術難以應用或缺乏整合性,這種情況會更加明顯。
為了解決這些風險並在網絡安全方面取得真正的領先地位,該報告呼籲企業應專注於良好的管理流程,適當整合技術,並考慮將一些不太關鍵的安全領域外判給值得信任的合作夥伴。以上這些,再加上行業夥伴的智能共享、良好實踐以及得之不易的經驗教訓,使企業能夠以不同的方式思考網絡安全。也就是說,網絡安全問題也許不再是董事會每年討論兩次的風險問題,而成為一個商業機會和數碼轉型的推動者。
該報告可於以下網址下載: http://www.globalservices.bt.com/uk/en/point-of-view/cyberjourney
關於英國電信 BT
英國電信 ( BT ) 的目標是利用通訊的力量創造一個更美好的世界。它是世界領先的通訊服務與解決方案供應商之一,客戶遍佈逾 180 多個國家和地區,其主要活動包括在全球提供網絡 IT 服務;為家庭、企業和流動用戶提供本地、國內和國際電訊服務;寬頻、電視與網絡產品和服務;固定及流動融合產品和服務。集團由六個面向客戶的業務部門組成:BT 全球服務部(Global Services)、商業及公共部門(Business and Public Sector)、 消費者業務部(Consumer)、EE、批發及投資部(Wholesale and Ventures)以及 Openreach。
