經(jīng)濟安全中很明確指出了:“沒有網(wǎng)絡(luò)安全就沒有金融穩(wěn)定”,來自克利夫蘭聯(lián)邦儲備銀行總裁兼首席執(zhí)行官LorettaJ.Mester寫道。事實上,網(wǎng)絡(luò)安全性差的影響已被證實會降低股價和股價倍數(shù)、有損品牌聲譽、降低市場份額、減少銷售額、催生罰款、增加法律費用,并使得聘請高質(zhì)量人才變得更加困難。要想擁有未來,就必須掌握信息安全。
在未來掌握信息安全的途徑有以下要素:
●承擔(dān)個人責(zé)任/義務(wù)
●明確個人對信息安全的信念
●養(yǎng)成良好的網(wǎng)絡(luò)衛(wèi)生習(xí)慣
●關(guān)注軟件供應(yīng)鏈
●強化操作技術(shù)組件
不再做旁觀者
迄今為止,在數(shù)字時代的大部分時間里,信息安全一直是一項參與度不高的項目。職員、客戶、高管和董事會成員基本上都持觀望態(tài)度,而信息專家(安全專家)則默默地與壞人作斗爭。
人類與信息安全的親密關(guān)系已經(jīng)結(jié)束。展望未來,隨著設(shè)備的普及,每個人都與網(wǎng)絡(luò)安全息息相關(guān);每個人都有改善網(wǎng)絡(luò)安全或降低網(wǎng)絡(luò)安全風(fēng)險的可能;每個人在信息安全領(lǐng)域扮演了一個角色并承擔(dān)相應(yīng)的責(zé)任。
個人預(yù)測,到本世紀末,將明確規(guī)定法定年齡5歲以上的人都將承擔(dān)起對信息安全的責(zé)任與義務(wù)。在每天、每季、每年和每一段職業(yè)生涯結(jié)束的時候,將以高管們是否改善或降低他們所在社區(qū)和工作場所的網(wǎng)絡(luò)安全為依據(jù),進行評判、獎勵和懲罰。
將所有的網(wǎng)絡(luò)問題“歸咎于用戶”并不是我的本意,也不是有效的做法。然而,我們的確需要讓企業(yè)內(nèi)的每個人都明白,自己在保障信息安全方面可發(fā)揮的作用。
從量變到質(zhì)變(知、言、行)
你不用非得先成為一名未來學(xué)家、心理學(xué)家或人類學(xué)家,就知道人們的所想、所說和所做之間經(jīng)常存在巨大的差異。在未來,網(wǎng)絡(luò)安全將不再以計算機科學(xué)為主,更多地而是一門行為科學(xué)。
保障信息安全需要付出行動。為了有所改變,我們必須管理人們對信息安全的理解與思考方式。為此,我們必須先了解人們對信息安全的信念。
信念、知識和行動是密不可分的。第一步是準確評估企業(yè)中每個員工對信息安全的看法。這只能通過管理人員的親身實踐和逐一談話來完成。
個人預(yù)測,這種逐各評估的方式將顯示出兩極分化的結(jié)果:
“我不重要,沒有人會針對我。”
“即使我想阻止他們,我也沒有能力。”
養(yǎng)成基本的網(wǎng)絡(luò)清理習(xí)慣
我們每個人都需要促進和養(yǎng)成良好的網(wǎng)絡(luò)清理習(xí)慣。它包括但不限于,設(shè)置安全性高的密碼、強大的漏洞修補流程、及時檢測、預(yù)防和補救、將保護措施落實到位以預(yù)防惡意軟件,并確保強大的訪問協(xié)議。
遵循這些,將有效提高整體安全性。根據(jù)微軟2021數(shù)字防御報告顯示,近70%的數(shù)據(jù)泄露是由網(wǎng)絡(luò)釣魚引起的,而98%的攻擊可以通過基本的網(wǎng)絡(luò)安全清理習(xí)慣來預(yù)防。
行業(yè)挑戰(zhàn)
隨著我們對保障良好的信息安全承擔(dān)起個人責(zé)任,這便消除了壞人們“唾手可得的果實”,因此我們可以預(yù)見,網(wǎng)絡(luò)攻擊的重點將會轉(zhuǎn)移。值得關(guān)注的兩大領(lǐng)域,一個是運營技術(shù),一個是軟件供應(yīng)鏈。
多年來,安全專家一直警告說,運營技術(shù)(如,工廠生產(chǎn)線、制造技術(shù)、公用設(shè)施、電梯、恒溫器、燈和車輛)可能會遭受毀滅性的攻擊。美國燃油、燃氣管道運營商ColonialPipeline的黑客攻擊事件為很多人敲了個警鐘。
現(xiàn)代軟件開發(fā)被喻為做蛋糕。許多高管不知道,這個軟件蛋糕的組成部分并非都是在內(nèi)部產(chǎn)生的。聰明的黑客已經(jīng)發(fā)現(xiàn),破解一個被數(shù)千家公司安裝的軟件,遠比破解數(shù)千家公司更有利可圖。
近期,信息安全的最大擔(dān)憂是,廣泛部署的軟件組件可能已受到損害。各企業(yè)正在仔細重新檢查他們的軟件“材料清單”。
