“对于技术方案的认知匮乏以及相关风险处理能力低下——特别是网络风险或者关键性信息基础设施破坏所带来的系统性级联效应——可能会给国家经济、各经济组织乃至全球企业带来深远的影响。”——世界经济论坛《2016年全球风险报告》
世界经济论坛(简称WEF)于2016年1月14日,也就是刚刚开幕的著名达沃斯会议的前一周,发布了《2016年全球风险报告》。以下内容援引自该报告当中与网络风险与网络恢复能力相关的主要研究成果。
网络风险仍是一项高关注度任务
这份报告提供了一系列证据,表明网络风险仍是目前全球范围内企业领导者们较为关注的任务之一。这些证据不仅证明网络相关风险所涉及国家数量之巨,同时也可以通过报告中的具体措辞了解到网络风险的现实状况:“互联网已经开启一片新的战争领域:与网络对接乃至相关的一切皆能够被突破。”
这份报告的重要结论之一在于,对美国市场而言,网络攻击风险已经被列为头等威胁。在附带的新闻稿当中,世界经济论坛表示目前已经有至少七个国家将网络攻击视为企业领导者较为关注的顶级威胁,其中包括日本、德国、瑞士与新加坡。
网络攻击同时也被另外27个世界经济体列为关注风险类型清单中的前五名。不过从全球风险的角度来看,网络攻击并没能入选前五——低于2012年的第四位与2014年的第五位。
这份报告同时指出,对于网络的愈发高企的依赖性本身也成为一项潜在的未来风险:“相关事故在发生频率与规模方面一直不断增长。截至目前,网络攻击活动仍然主要涉及单一业务实体或者国家,但随着物联网所带来的人与机器之间更为紧密的联系,网络依赖关系——受访者们普遍认为其已经成为第三大全球性趋势——将进一步增强,而网络攻击机率提升亦与整个网络生态系统存在着潜在连锁效应。这意味着单一实体所面临之风险越来越多地同其它实体关联起来。”
IT之重要性愈发突出
这份报告同时提醒称,尽管各企业已经意识到IT所能够带来的可观价值,但它们“可能还没有充分应对网络安全风险,同时利用适当的投资水平提升自身运营风险管理能力并加强组织应变水平。”其进一步警告称,“未来的每一项冲突都将包含有网络元素,而且其中一部分甚至有可能给网络领域带来全面打击。”
这些可怕的前景无疑将给网络安全管理者带来巨大压力。“考虑到在网络层面攻击活动的实现难度要远低于防御工作,因此这将显著改变整个安全体系应对潜在违规行为的方式。物理距离已经无法提供足够的保护,大量技术存在两面性,很多重要的基础设施为私有资产,而难于追踪的特性也让我们很难掌握攻击活动的来源。”
较后,报告批评了各企业当中围绕网络风险建立的现有归属与协作状态。“尽管CEO们对于网络风险的提升表示担忧,但网络风险责任的实际归属仍然比较模糊,”这份报告指出。“企业中的哪些成员应当作为风险的拥有者?尽管目前已经存在大量C级风险管辖者(包括CISO、CFO、CEO、CRO、风险管理),而每位管辖者的定位亦有所不同,但他们往往并不了解风险本身或者未能在管理层面进行有效合作。因此,针对网络风险做出明确的角色与职责划分将非常重要。”
世界经济论坛要求各企业积极参与
早在2012年,世界经济论坛就已经发起了一项倡议,旨在推动企业领导者认真审视并参与到网络恢复工作当中。在其发布的《携手实现网络弹性》文件当中,世界经济论坛将网络弹性定义为“系统及企业抵御网络事件的能力,具体水平由平均故障时间与平均恢复时间综合计算得出。”
这份文件还包含了与网络弹性相关的五级成熟度模型。各企业会根据其应对网络风险的实际方式被归划为以下类别之一:
无意识
碎片化
自上而下
普及
网络化
世界经济论坛要求各位企业高管采取四项关键性举措以应对网络风险,而其具体内容被发布在其题为《超连接时代下的风险与责任:通往全球网络弹性之路》的文章当中。这四项原则性举措包括:
1.依赖性意识:有关各方都应在推进弹性共享式数字化空间方面发挥自己的作用。
2.领导角色:鼓励企业高管人员关注并统领网络风险管理事务。
3.综合性风险管理:开发出一套切实有效的实施方案。
4.促进推广:在适当情况下,鼓励供应商与客户拥有相近的网络风险意识与保障水平。
总体来讲,《2016年全球风险报告》向企业领导者们提出了一项明确的警告,要求他们积极对网络风险管理与治理做出努力,并尽快着手解决企业网络弹性需求——这将密切关注到企业自身的资产安全与商业声誉。
