【摘要】随着国家经济的不断发展,互联网也在不断发展,但是互联网在不断发展的同时,还存在许多网络风险。这些网络风险会损害互联网的系统,对互联网的发展是不利的。那么到底有哪些网络风险?网络风险又该如何解决?
由苏黎世保险集团与全球智库——美国大西洋理事会共同发起的一项研究结果显示,互联的外部网络风险对信息系统以及整个英特网的基础稳定构成了威胁,网络风险管理专家必须对公司内部信息技术(IT)进行审查,对这种威胁加以防范。
七种关键网络风险
报告中罗列了7种关键的互联网络风险,包括与交易对手,外包供应商,供应链,颠覆性技术,上游基础设施以及外部冲击相关的风险。这些网络风险可能会导致系统故障,影响范围和规模堪比2008年的金融危机。此外,报告针对具有系网络责任的政府和组织,以及其他单一组织就缓释网络风险,降低网络风险发生几率以及所带来的后果也给出了关键的建议。
苏黎世保险集团首席风险官兼欧洲区主席阿克塞尔·莱曼(Axel Lehmann)指出:“因特网是人类历史上最复杂的系统。尽管过去数十年以来,因特网蓬勃发展,速度之快令人难以置信,但是目前存在的风险是我们用以防范网络风险的复杂系统可以甚至非常有可能反戈相向。
莱曼说道:“企业会在毫不知情的情况下就面临来自外部的网络风险敞口。通过外包,企业可能与日益复杂且不知名的网页互连,暴露在这些网络风险之下。很少有人真正了解自己的电脑或是因特网以及他们所连接的网络云端,就像很少有人真正了解整个金融系统,甚至是自己直接接触的部分系统。”该份报告还指出,有充足的理由相信,因特网的未来发展不如此前一般顺畅,开放和活跃。相反,未来的互联网更有可能因为小的故障, 扩散成为全球性的危机。
过去,整个社会对复杂的信息技术系统进行了成功管控,但是从整个过程来看,还“远未达到完美的程度”。因为因特网高度互联,与整个社会紧密相关,一个小的故障,或是某一处的一系列故障都有可能扩散,给其他地区造成非常重大的影响。
想象一下,当一家大型云端服务供应商发生“雷曼事件”,周五都还在的用户数据在周一便消失不见,无法恢复。如果这个故障继续扩散到一家大型的物流公司或是运营关键基础设施的公司,那么这场灾难性事故的影响就可能被放大,进一步蔓延到整个实体经济。这种蔓延方式令人费解,在事故发生前难以模拟,无法预测。特别是当这起事故与另一起事故同时发生时,这两起事故的相互作用可能导致出现大面积的网络崩溃或网络瘫痪,影响时间之长,波及范围之广将远远超过我们的预计。报告中对这一点也发出了警告。
报告罗列了可能致上文事故发生的7种关键互联网络风险。这些风险起源于企业内部网络和安全故障,随后向外蔓延。
几种关键网络风险包括:
1.内部IT设施:与企业(通常是指企业内部)整个IT设施相关的风险包括硬件,软件,服务器以及相关操作人员和操作流程。
2.交易对手与合作伙伴:依赖外部组织或与外部组织直接互联(通常以非合约方式)所导致的风险,包括大学研究合作伙伴,竞争/合作银行之间的关系,合资企业与行业协会之间关系等。
3.供应链:对IT业供应链以及传统供应链和物流的风险。包括来自某个国家的风险敞口,产品伪造与篡改所导致的风险,以及供应链突发事故的风险。
4.颠覆性技术:新技术所造成的风险、新技术本身以及新技术中止风险。这些颠覆性新技术是指现有但尚未完全开发的技术或是即将推出的新技术,如内嵌医疗装置、无人驾驶汽车以及自动数字经济。
5.上游基础设施:经济社会依赖基础设施中断风险,尤其是电力、金融系统以及电讯等基础设施。
6.外部冲击:系统外部事件导致的风险,这些外部事件通常超出了大部分组织的控制范围,并且有可能进一步扩散、包括主要的国际冲突和恶意软件入侵。
解决方案
为了解决研究中发现的上述全球性网络风险,报告中给出了两套广泛的建议方案。
其中一套建议方案旨在帮助单个组织、公司、政府部门甚至是个人网络用户规避全球网络危机所带来的较大风险。
第二套建议方案旨在提升整个因特网的安全,降低全球网络危机发生的几率以及减少全球网络危机所造成的影响。这部分建议主要是针对具有系统观念的政府机构和组织,以及在互联网行业中具有举足轻重地位的部分企业,包括互联网服务供应商,路由设备制造商以及操作系统开发商。
此外,报告中涵盖有三套子方案,主要针对非系统性架构公司。这三套子方案分为基本建议、高级建议以及应对措施。
基本建议是指无论公司规模大小,都有一套相对较小的适用行动方案帮助公司防范大部分的网络风险。
行动方案需全盘考虑
报告中指出,通常情况下,这些行动方案都非常简单易行,数十年来一直未有太大变动,但是导致网络空间普遍不安全的主要原因则是太多组织忽视了这些基本措施。
网络安全理事会(Council on Cybersecurity)公布了《20项关键安全控制》,报告建议公司严格遵守其中的5大关键步骤。
第一,根据应用程序白名单,组织仅允许内部电脑运行一些有限的,并且预先批准的程序,从而降低电脑受到黑客恶意软件攻击的几率。
第二,采用标准安全系统配置。对于那些仅安装有标准配置的计算机而言,风险防范更加简单易行,成本更低。
第三,在应用程序补丁发布后的48小时内及时更新。一旦微软、苹果或其他公司发布修复软件 “补丁”,操作系统中就会弹出一个“系统风险”的窗口。从数周改至数天内完成这些窗口提示操作将大幅降低黑客找到漏洞的几率,从而有助于控制风险。
第四,在系统软件补丁发布48小时内及时更新。这一点比上文提到的应用程序补丁更为重要,因为系统软件用于实现计算机关键的基础功能,享有更高的权限。
第五,减少拥有管理员权限的IT用户数量。“拥有管理员权限”的用户就像拥有了开启整个王国的钥匙,几乎能够实现所有他们想在网络上实现的事情,就像爱德华·斯诺登(Edward Snowden)所证明的那样。尽管如此,很多公司还是允许所有员工拥有自由下载,运行所有程序以及自由访问公司网站的权限。
除此之外,公司应该考虑执行全新的《网络安全框架》,针对不同风险管理级别的公司,该框架提供了一整套全面的网络安全管理流程。
报告同时也指出,对于规模较大,技术更先进的组织而言,必须具备落实更高级别网络风险管理的能力,同时组织采纳的风险管理举措必须超出网络安全协会所制定的《20个关键安全控制》。
高级风险管理建议方案内容如下:
●确定风险:尤其是技术先进的组织,必须拓宽自身的风险管理视角,将其他风险类型纳入进来。特别是有关交易对手信息合同与外包协议,以及上游基础设施的网络风险。上述风险至少都可以通过合约,服务协议以及深入的实地考察或审查进行部分控制。
●网络保险: 通过投保网络保险可以转移网络风险,特别是与数据被盗或营业中止相关的第三方风险。随着越来越多的保险公司涉足网络保险领域,保险产品日益多样化,购买网络保险这个建议逐步适用于所有公司,而非仅限于一些技术先进的企业。
●提高成熟度、安全产品与标准需求:享有重要地位的企业可以推动主要的供应商以及标准组织纳入更多安全措施,提升危机应对能力。这些举措都可
●董事会风险管理:在网络风险方面,董事会需要采取更加睿智的管理办法。具体而言,董事会需要具有广泛的视角,将全球网络风险纳入企业风险管理当中,并且采取高层负责制,而非平常的检查/审查制度。
尽管报告中罗列了众多网络风险防范措施,但是也警告称,即便采取所有上述措施也不足以规避将来所有的全球网络危机。报告指出,鉴于未来全球网络危机发生频率以及影响深度,绝大部分组织都无法独善其身,就如遭遇自然灾害一样。
鉴于此,报告指出,公司唯一的希望就是打造自身应对危机的能力。具体而言,公司应该具备从全球网络危机中迅速恢复的能力,尽可能缩短网络危机持续时间,降低危机所造成的影响。
报告中针对公司打造危机应对能力给出了如下建议:
●冗余:公司打造危机应对能力需要配置有备用电源以及多个电讯供应商,可替代的互联网供应商(ISP),在发生互联网危机的情况下,可以连接到不同的对等点,采用应急措施,减少对信息技术的依赖。
●事故应对以及业务持续规划:对团队进行培训,做好准备应对最糟糕的局面是企业的一种优势,而这种优势却往往容易被忽视。团队必须制定有明确的标准操作流程。操作流程的制定基于企业的数个指标,同时制定旨在实现公司有关这些指标的规定。包括监测故障发生/黑客入侵所耗费的时间,以及排除故障,消除黑客攻击所耗费的时间。
●场景规划与演练:最优秀的组织会对发生几率最高以及危险最大的网络风险进行审查,并且对内部安全团队、危机应对团队,以及企业高层与董事会进行演练,从而打造企业应对事故的深刻记忆。
报告还敦促这些政府和企业借鉴金融监管的最佳理念,建立类似于G20+20网络稳定委员会(Cyber Stability Board),加强网络风险管理,制定和改善G-SIIOs(全球特别重要因特网组织)的管理。
对于具有系统网络责任的企业与政府机构而言,报告建议拓展风险管理范围,将系统性的应对能力的机制纳入进来。除此之外,报告也建议公司和政府慎重采用现行的监管权限,将风险管理拓展至第三方供应商以及附属机构。
慧择提示:根据上面描述可以知道,网络风险可能会导致系统故障,会给互联网发展带来一定影响。对于网络风险专家建议,网络风险管理机构必须提高自身的网络风险防范机制。同时还要提高网络的成熟度,这可以提高对互联网危机的应对能力,保障互联网安全。