在商业社区有一个不可忽视的真相。正如许多商业决策者都非常清楚的那样,几乎每周都会有某种形式的数据泄露事故登上媒体报道,仅今年就出现了多起重大的数据泄露事故,对全球成千上万人造成了影响。
一旦数据泄露事故发生,各种规模事故都会造成残酷的后果(尽管这些事故的规模可能比上面列出的例子要小)。仅从零售行业来看——最近的研究显示,如果一家零售企业遭到入侵,19%的客户会完全停止在该企业花钱,三分之一(33%)的客户表示他们至少会暂时停止在那里购物。您能想象失去19%的客户群可能会对收入产生什么影响吗?这肯定不是一个美好的景象。
随着GDPR等新法规的实施,罚款也成为企业负责人的一个巨大恐惧因素。
预算的商业案例在哪里?
所以,数据泄露事故的后果——包括从罚金到经济损失以及沮丧或被客户所抛弃——都是破坏性的,令人不安的,可以让企业陷入危机之中。
在这一背景下,您可能会认为首席信息安全官员很容易证明他们的预算需求是合理的。但是,卡巴斯基实验室最近的研究i显示,首席信息安全官实际上正在努力获得抵御网络罪犯所需的预算。
原因有多个,包括安全有时候被归入更广泛的IT预算,但由于董事会的无知,这些预算被优先考虑数字化、云计算或其他IT项目。然而,较难获得预算的最常见原因是首席信息安全官(CIOS)无法保证其组织不会发生数据泄露事故。
从商业角度来看,这或许是有道理的,对吧?毕竟,如果你是一名企业负责人,将精力都专注于企业盈亏,为什么你会同意将预算投入一场显然无法取胜的战斗中呢?明智的商业常识驱使你只会在可以获得回报的地方进行投资。
对于阅读这篇报告的企业负责人来说,这可能听起来具有争议性。但是,在卡巴斯基实验室,我们思考的问题是:“你能保证不再发生数据泄露事故吗?” 这不是企业应该问的问题。在我们解释原因之前,让我们再问一下自己——数据泄露是否真的是无法避免的吗?
是什么让网络安全事故变得不可避免?
根据我们的调查结果,近十分之九(86%)的首席信息安全官认为安全事故不可避免。那么,这种确定性背后的原因是什么呢?
大多数企业都在走向数字化转型,超过一半 (52%))的企业认为,这是未来五年对其组织IT 安全影响最大的技术趋势。数字化转型拓宽了攻击面,给网络罪犯提供了更多机会来发现弱点,从而入侵系统,泄露或利用数据。云计算的采用、工作人员流动性的增加以及数字渠道使用的增加都是影响因素,从而增加了风险。
这还不是首席信息安全官面临的唯一因素。如果一个恶意的内部人员—— 也许是一名员工—— 与公司为敌,甚至与外部攻击者联手呢?比如说帮助攻击者通过后门入侵。
这类威胁特别难以发现和事先预防。事实上,这是首席信息安全官们最害怕的威胁类型,29%的首席安全官认为这是他们的企业或组织所面临的最大的IT安全风险(仅次于以获利为驱动力的网络犯罪组织,占40%)。
既然谈到了以获利为驱动力的威胁这一话题,顺便说一下,如果入侵一个组织能够给攻击者带来实质性的收益,并且这些收益超过了他们组织攻击所需的资源,那么就犯罪分子而言,他们的努力很容易证明是合理的。他们就会不断寻找新的赚钱方法。
提出正确的问题会导致正确的决定
上面似乎列出了足够多的理由,证明了为什么“我能阻止攻击吗?”这样的问题不是企业负责人要问的正确问题。那么,正确的问题应该是什么呢?
如果攻击很可能会发生,而且会越来越多,问题的关键在于企业是否能够足够快地检测到攻击,并且全面而快速地做出响应,将影响限制到最小。
换句话说,越来越明显的是,企业不能再仅仅处于预防范式。 这种思维方式已经过时,与当今企业的运作方式不同步。当遭遇针对性的,高度复杂的攻击时,检测和响应应该成为优先事项。
现在是时候教育企业负责人,投资网络安全是值得的。这不是为了保证完全预防网络事故,而是为了提高攻击者的攻击成本。这是为了让他们无法负担攻击,而且不值得他们这么做。
更为重要的是,要让您的外围和安全团队做好准备立即解决任何试图干扰您的组织的网络的企图。