第一情报 ---信息产业

在COVID-19危机期间有关数字安全的7个教训(1)

供稿人:倪炜瑜  供稿时间:2020-11-26   关键字:新冠疫情  COVID-19  数字安全  

近期,基于经济合作与发展组织数字经济安全工作组(SDE)在危机初期高峰期间分享的意见,OECD发布了研究新冠肺炎危机期间出现的关键数字安全政策问题的文章。该文旨在为组织和政策制定者提供经验教训,并强调了当前迫切需要采取举措:1)公共和私人组织的持续努力,以灵活和敏捷的流程在危机期间管理数字安全风险;2)大力加强医疗保健部门和小企业的数字安全;3)持续培育多方利益相关者的数字安全生态系统,以便在特殊情况下实现信息共享。

关键信息

 

· 公共和私营机构应该为危机做好准备,并遵循足够灵活的数字安全风险管理流程(例如风险评估、风险处理和连续性计划),以适应危机情况。在特殊情况下,可以加快这些进程,但不应完全无视这些进程。

 

· 决策者迫切需要解决卫生保健部门和中小企业数字安全风险管理不善的问题,这是两项已经存在的重大挑战。

 

·跨组织、利益相关者团体和边界的合作和信息共享对于降低数字安全风险至关重要,尤其是在危机期间。政府可以在促进这种合作方面发挥关键作用,特别是通过支持、召集或鼓励建立基于信任的可持续多方利益攸关方伙伴关系。

 

危机期间管理数字安全风险需要有准备性、灵活性和敏捷性

 

1、危机期间数字安全风险增加,因为压力较大的组织更容易受到攻击。

 

COVID-19展示了数字技术对企业永续经营的至关重要性。当危机来临时,企业纷纷关闭办公室,不得不转向在网上开展活动,以继续运营。随着数字成为企业永续经营的平台,组织对数字的依赖程度已经很高,上升到了异乎寻常的水平。

 

结果,大多数组织的数字生态系统都处于高度压力之下。组织的领导层必须迅速就如何在危机期间使用数字技术做出重要决定。数字基础设施必须迅速扩大规模,以适应特殊情况。劳动力会经常性减少(例如在家照顾孩子的员工),而且也没有接受在新的数字环境中有效操作的培训。许多现有的流程变得无关紧要,无法正常运转,直到调整为新的工作方式。

 

危机造成的破坏也制造了机会,恶意的行为人利用这些机会达到他们的目的,例如窃取金钱、商业秘密和个人数据。例如,从攻击者的角度来看,一家信息系统被勒索软件攻击瘫痪的医院,在面临重大卫生紧急情况的压力时,更有可能支付赎金。中小型企业在面对一个更暴露的数字环境时,为了依靠相对较少的IT人员生存,它们更有可能跳过或延迟补丁程序,使其服务器容易受到入侵。员工也更有可能点击电子邮件中的恶意“重要Covid-19信息”附件或链接。

 

2、在危机期间,阻止应继续负责任地管理数字安全风险,而不是忽视数字安全风险。

 

有必要在危机期间保持良好的数字安全风险管理实践。

 

然而,在危机期间,企业可能会陷入两大陷阱:遵循为“正常时期”设计的计划或框架,这些计划或框架过于僵化,无法适应当前的危机;或者因为特殊情况和快速决策的需要而完全忽视数字安全风险管理过程。

 

COVID-19大流行揭示了在危机期间跟踪数字安全过程是多么困难,特别是在危机的性质对数字生态系统(包括基础设施、人员和过程)造成高度压力的情况下。例如,在很短的时间内,许多公共和私人组织迅速将整个劳动力从公司设施转移到虚拟环境中,促进了个人计算设备的企业化使用,并几乎在一夜之间采用了新的电话会议和远程访问工具。在一些国家,政府加速了“电子政务”服务的开发和部署,以便在严格的卫生措施(如封锁、社交距离)背景下,保持公共服务的连续性(如纳税或获取行政文件)

 

在这种情况下,为了迅速确保企业的永续性经营,可能会诱使人地完全绕过风险评估和处理过程。然而,新的或临时的数字基础设施的快速实现,以及动态地采用新的流程,可能会创建一些薄弱的链接,而恶意行为者会不断寻求利用这些薄弱的链接。在危机期间,一次成功的数字安全攻击可能会给企业带来严重后果:中断业务连续性、使企业暴露于大规模数据泄露、损害企业声誉、泄露商业和创新机密、削弱企业竞争力。

 

业务(而不是技术)决策者应该负责决定如何处理数字安全风险(即减少、接受、避免或转移风险)。绕过数字安全风险管理程序与负责任的决策是不相容的。即使在特殊情况下,企业和其他组织(包括政府)也需要负责任地管理数字安全风险,以避免在短期、中期和长期产生反效果。

 

3、特殊情况需要敏捷的数字安全流程来实现企业的永续经营。

 

然而,数字安全必须支持商业目标,而不是通过僵化的官僚程序阻碍它们。在特殊情况下,需要比通常更灵活地快速实现既有效又可信的新解决方案。

 

因此,数字安全风险管理流程应该是灵活的,以匹配特殊的业务需求,而不牺牲良好的安全实践。在危机期间,决策者应加快数字安全风险评估和处理流程,以便能够迅速转向确保企业永续性经营的紧急数字解决方案。这需要在业务决策者和技术安全专家之间建立有效、可信和无缝的关系,从而实现业务驱动的数字安全风险管理决策。例如,为了适应更广泛的情况,组织可以根据危机可能性的级别(例如,从不可能到实际)调整其数字安全风险管理决策过程的复杂性和深度。

 

此外,出于必要,较高的风险容忍度可能会在危机初期形成数字安全风险管理决策,增加组织的风险暴露(例如,开放网络端口,部署测试不足的解决方案,等等)。重要的是要审查这些运营决策,并确保在特殊情况下接受的数字安全风险仍然符合组织在正常情况下的风险承受能力。

 

4、数字安全预备工作是关键,应该是更广泛的企业永续经营计划的一部分。

 

COVID-19大流行突出了防备的重要性,因此一个组织要测试在发生破坏性事件时能够迅速实施的计划,以确保业务的连续性和应变能力。正如《促进经济和社会繁荣的数字安全风险管理建议》(OECD, 2015[1])的“有准备性和连续性”原则所述,有准备性是数字安全风险管理的一个重要部分。

 

然而,组织倾向于以一种有限的方式来处理数字安全准备,作为一种手段,为数字安全事件迅速升级为一场危机做好准备。COVID-19危机表明,非数字安全危机也需要特别的数字安全准备。因此,有必要进一步将数字安全准备纳入更广泛的企业风险管理、业务连续性和危机管理规划。

 

对组织而言,回归“正常”亦是检讨应急计划和数字安全风险管理程序(例如组织是否遵循预先定义的程序? 应急计划是否足够灵活?等等)的有效性和一致性的机会。

 

参考资料:

1 http://www.oecd.org/coronavirus/policy-responses/seven-lessons-learned-about-digital-security-during-the-covid-19-crisis-e55a6b9a/

 

 


注册成为正式用户,登陆后,获得更多阅读功能与服务!
转载本文需经本平台书面授权,并注明出处:上海情报服务平台www.istis.sh.cn
了解更多信息,请联系我们

§ 请为这篇文章打分(5分为最好)