天创培训:您身边的信息安全培训专家!
行业动态
上万亿!美元!这就是网络攻击惹的祸

  在过去一年中,无论是公有还是私营机构和企业,都不断遭到网络攻击。例如,荷兰三大银行网络系统在一周内不断遭受分布式拒绝服务攻击;Facebook称遭受黑客攻击,5000 多万用户的个人隐私信息面临风险……

  

  俄罗斯储蓄银行发布报告称,2018年因网络犯罪导致世界经济损失1.5万亿美元,今年预计该损失将达到2.5万亿美元,增长60%。

  

  值得注意的是,《2018年全球风险报告》首次将网络攻击纳入全球风险前五名,成为2018年全球第三大风险因素。在《2019年全球风险报告》中,网络攻击仍然被列为全球面临的首要风险之一。

  上万亿!美元!这就是网络攻击惹的祸

  来源:世界经济论坛

  

  从数据外泄、身份盗窃到业务和关键基础设施破坏,公共部门和私营部门应如何确保全球网络安全跟上步伐?在夏季达沃斯论坛上,与会嘉宾分享了各自的见解。

  

  企业的责任

  

  “如果我们认为,生活中的一切都可以被聚合、出售,甚至在黑客攻击事件中被泄露,这是正常且不可避免的,那么我们失去的不仅仅是数据,我们还失去了做人的自由。”

  

  这是苹果公司首席执行官蒂姆·库克日前在斯坦福大学的毕业典礼上发表演讲时说的一句话。库克认为,硅谷的科技公司应该为他们制造的“混乱”承担责任,包括数据泄露、侵犯隐私等。

  

  过去一年来,几乎每隔一段时间,就有网络安全事件发生。尤其是美国社交巨头Facebook,因数据泄露频上舆论风口。

  

  2019年4月4日,据路透社报道,网络安全公司UpGuard的研究人员声称,他们在亚马逊云计算服务器上可公开访问的地方发现了数亿Facebook用户的个人信息记录。

  

  该事件发生两周前,网络安全专家克莱布斯发布的一份报告显示,Facebook存储的“数以亿计”用户的账户密码并没有被加密,且可以作为纯文本格式的文件,显示给该公司成千上万的员工。

  

  这些被曝光的事件,反映出Facebook在网络安全方面仍然存在不少漏洞。事实上,不仅仅是Facebook,全球许多科技公司也存在同样的问题。

  

  企业在维护网络安全方面,应该承担什么样的责任?

  

  美洲国家组织网络安全项目经理Belisario Contreras指出,很多人说数据就是新一代石油,但数据的所有者是人。“如果我们能够成功对人进行教育,确保他们进行数据保护,我们就可以保障信息安全和数据安全。”

  

  苏黎世保险集团首席IT服务官Thomas Kropp认为,在应对网络攻击方面,很多公司已经开始采取行动,比如对公司结构进行调整。现在IT在公司业务发展中越来越重要,这是公司需要做的事情,必须设定一个优先级,以应对新的风险。

  

  Splunk高级副总裁兼安全市场总经理Haiyan Song表示,很多网络安全问题是瞬息万变的,需要企业提前部署。与此同时,数字转型开拓了很多新的领域,现在正朝着自动化的方向发展。如果全球的企业界不懂得加入数据和技术实现网络威胁的自动识别和应对,那么只能任由别人攻击。

  

  Haiyan Song进一步指出,当前全球正处于AI应用的早期,可以尝试用AI管理网络安全。“尤其是当边界越来越模糊,很多数据和应用都在云上,我们需要有更标准化的技术来帮助大家理解外部的环境,从这个角度来说,AI是一个非常强大的工具。”

  

  哥伦比亚大学国际与公共事务学院国际与公共事务兼职高级研究学者Katheryn Rosen指出,当网络攻击者越来越狡猾,且资源越来越强大的时候,他们的工具成本更低,因此他们可以持续地发起网络攻击。企业应该做好被攻击的准备,尤其是企业的响应方案很重要。

  

  Katheryn Rosen认为,如果企业出现网络攻击事故,企业要知道如何迅速恢复系统。公司甚至可能需要准备这种状态下的行为手册,这是一个非常重要的计划。

  

  政府监管的度

  

  随着网络攻击以及数据滥用问题日趋严重,全球不少经济体制定了相关的数据安全保护法律法规。

  

  2018年5 月,欧盟《通用数据保护条例》 (GDPR)正式生效。业界普遍认为,GDPR是一部比较严厉的数据隐私保护法。根据GDPR,一旦发生数据泄露事故,数据控制者需要及时通知监管机构,如果可行,应不超过72小时。

  

  在处罚上,GDPR也规定了严苛的罚金。如果没有实施充分的IT安全保障措施,或者没有提供全面的透明的隐私政策,没有签订书面的数据处理协议等,可能罚以1千万欧元或者上一年度全球营收的2%,两者取其高。

  

  值得注意的是,美国加利福尼亚州也加大消费者对个人数据的处置权,去年签署了《2018加州消费者隐私法案》,堪称全美各州最严网络隐私保护法规。

  

  但代表Facebook、亚马逊等大型互联网企业的公共政策游说团体“互联网联盟”、加州商会、全国零售商联合会、全国广告商协会等表示反对,认为会遏制美国创新能力。

  

  在网络攻击日益严重下,政府监管的度应该在哪里?

  

  Thomas Kropp表示,如果政府监管得太严,整个执行就会出现尾大不掉的情况。要允许人们进行自由的测试,在不违反规定的情况下尝试不同的方法。从用户的角度来说,应该和监管者一起制定决策,而不是政府规定得事无巨细,最后很多钱都花在制定标准和标准的实施方面。

  

  Thomas Kropp还指出,应对网络攻击,全球最大的挑战是透明度。“有人对企业发动攻击后,我们发现存在各种各样的限制,让我们没办法进行数据的分享和专利的分享,这也会给我们带来网络安全的挑战。”

  

  Haiyan Song也认为,在网络安全方面,应该打造以信任为基础,形成以技术为推动的分享,让各国的政府能够在全球给企业一定的自由度去分享一些保护措施。

  

  在Katheryn Rosen看来,从应对网络风险的角度来讲,现在很多企业的网络系统都需要具有一定的灵活性,因为技术进步很快,企业必须保证灵活性。

  

  “如果监管过多,会产生一些不良的负面作用。过去很多监管一开始出发点是为了解决某些问题,最后产生的结果和影响是意料之外的。所以监管者在立法的时候要考虑后果。”Katheryn Rosen说。