經濟安全中很明確指出了:“沒有網絡安全就沒有金融穩定”,來自克利夫蘭聯邦儲備銀行總裁兼首席執行官LorettaJ.Mester寫道。事實上,網絡安全性差的影響已被證實會降低股價和股價倍數、有損品牌聲譽、降低市場份額、減少銷售額、催生罰款、增加法律費用,并使得聘請高質量人才變得更加困難。要想擁有未來,就必須掌握信息安全。
在未來掌握信息安全的途徑有以下要素:
●承擔個人責任/義務
●明確個人對信息安全的信念
●養成良好的網絡衛生習慣
●關注軟件供應鏈
●強化操作技術組件
不再做旁觀者
迄今為止,在數字時代的大部分時間里,信息安全一直是一項參與度不高的項目。職員、客戶、高管和董事會成員基本上都持觀望態度,而信息專家(安全專家)則默默地與壞人作斗爭。
人類與信息安全的親密關系已經結束。展望未來,隨著設備的普及,每個人都與網絡安全息息相關;每個人都有改善網絡安全或降低網絡安全風險的可能;每個人在信息安全領域扮演了一個角色并承擔相應的責任。
個人預測,到本世紀末,將明確規定法定年齡5歲以上的人都將承擔起對信息安全的責任與義務。在每天、每季、每年和每一段職業生涯結束的時候,將以高管們是否改善或降低他們所在社區和工作場所的網絡安全為依據,進行評判、獎勵和懲罰。
將所有的網絡問題“歸咎于用戶”并不是我的本意,也不是有效的做法。然而,我們的確需要讓企業內的每個人都明白,自己在保障信息安全方面可發揮的作用。
從量變到質變(知、言、行)
你不用非得先成為一名未來學家、心理學家或人類學家,就知道人們的所想、所說和所做之間經常存在巨大的差異。在未來,網絡安全將不再以計算機科學為主,更多地而是一門行為科學。
保障信息安全需要付出行動。為了有所改變,我們必須管理人們對信息安全的理解與思考方式。為此,我們必須先了解人們對信息安全的信念。
信念、知識和行動是密不可分的。第一步是準確評估企業中每個員工對信息安全的看法。這只能通過管理人員的親身實踐和逐一談話來完成。
個人預測,這種逐各評估的方式將顯示出兩極分化的結果:
“我不重要,沒有人會針對我。”
“即使我想阻止他們,我也沒有能力。”
養成基本的網絡清理習慣
我們每個人都需要促進和養成良好的網絡清理習慣。它包括但不限于,設置安全性高的密碼、強大的漏洞修補流程、及時檢測、預防和補救、將保護措施落實到位以預防惡意軟件,并確保強大的訪問協議。
遵循這些,將有效提高整體安全性。根據微軟2021數字防御報告顯示,近70%的數據泄露是由網絡釣魚引起的,而98%的攻擊可以通過基本的網絡安全清理習慣來預防。
行業挑戰
隨著我們對保障良好的信息安全承擔起個人責任,這便消除了壞人們“唾手可得的果實”,因此我們可以預見,網絡攻擊的重點將會轉移。值得關注的兩大領域,一個是運營技術,一個是軟件供應鏈。
多年來,安全專家一直警告說,運營技術(如,工廠生產線、制造技術、公用設施、電梯、恒溫器、燈和車輛)可能會遭受毀滅性的攻擊。美國燃油、燃氣管道運營商ColonialPipeline的黑客攻擊事件為很多人敲了個警鐘。
現代軟件開發被喻為做蛋糕。許多高管不知道,這個軟件蛋糕的組成部分并非都是在內部產生的。聰明的黑客已經發現,破解一個被數千家公司安裝的軟件,遠比破解數千家公司更有利可圖。
近期,信息安全的最大擔憂是,廣泛部署的軟件組件可能已受到損害。各企業正在仔細重新檢查他們的軟件“材料清單”。
