APP下载

【资安周报第72期】企业营运十大威胁出炉,前三大都得靠IT

2018-01-16 08:25

英国营运持续协会连续第六年发布地平线扫描报告,并公布前十大最容易造成企业持续营运的威胁、冲击和趋势的项目,都可以作为企业风险评估的选项参考。

图片来源: 

iThome

过去两周,全球因为勒索蠕虫WannaCry(想哭)的威胁,不仅让许多遭到勒索蠕虫威胁的企业想哭,许多IT部门和资安部门人员,更是日以继夜的不停加班,就是为了尽快修补微软于今年三月,就已经对外公布的MS17-010关于SMB通讯埠的漏洞。

对于许多企业的公司营运而言,这些突如其来的资安威胁,便如同是遭到网络攻击一般,严重的威胁甚至可以造成企业无法顺利营运,例如,想哭勒索蠕虫一旦绑架企业的ERP系统,加密所有的营运资料,一旦企业没有做好万全的营运资料备份,面对公司如何继续营运,或者是支付等同300美元的比特币以换取解密金钥,两相衡量情况下,孰轻孰重便已一目了然。

企业被勒索蠕虫绑架的感觉,就像是遭受到突如其来的网络攻击一样的束手无策。但实际上,企业遭遇到的这类资安威胁,所感受到的恐惧与不安,已经是现在相当普遍的现象。

根据英国营运持续协会(Business Continuity Institute,BCI)连续第六年定期公布的地平线扫描报告(Horizo​​n Scan Survey),企业遭受到的前十大威胁(Threats)中的前三名,已经连续三年排名和内容不变,且前十名的威胁也和世界经济论坛(WEF)揭露的威胁内容相仿,尤其是网络攻击和无预警的资讯与通讯中断,已经成为企业持续营运时,所面临的共通威胁之一。

台湾BSI总经理蒲树盛建议,该份报告揭露的内容,不论是威胁、冲击或者是趋势,都是台湾企业可以作为风险评估选项的参考内容,一般而言,每个项目的前三名都应该是百分之百都该重视的项目,如果企业拥有的资源更多,可以涵盖的风险范围越广的话,就可以透过八二法则,参照该优先级作为企业风险评估的优先项目。

企业面对资安风险,仍可参照八二法则做排序

资安专家李伦铨分析这次WannaCry灾情时曾表示,上次蠕虫登上报纸头版已是十多年前的疾风蠕虫(Blaster),但十多年后,当想哭勒索蠕虫再度登上头版,他说:“即使经历十年的生聚教训,面对不一样的资安威胁时,对企业而言,结果仍旧是同样的束手无策。”

蒲树盛则表示,有许多企业导入资安、个资或是企业营运持续的相关验证时,都会开始鉴别企业所面临的营运威胁和冲击是什么?但就他观察,其实许多台湾企业因为产业型态和规模大小不一,在鉴别威胁和冲击的项目上,并不完整,蒲树盛说:“有些时候就是因为鉴别的威胁项目不够完整,反而容易造成无预警的风险甚至是服务中断。”

他认为,透过营运持续协会归纳出来的十大威胁和十大冲击,就是企业在做风险评鉴时,可以直接纳入评估的项目。而这份地平线扫描报告的调查也显示,全球每3间受访企业中,就有2间企业将该份报告的威胁、冲击和趋势,作为企业风险评估的项目之一;也有21%的企业愿意提高企业持续营运的相关预算;此外,也有63%的受访企业是直接采用ISO 22301作为企业营运持续的指导原则。

若以该份报告最重要的三大分类来看,包括威胁(Threats)、冲击(Disruptions)和趋势(Trends),蒲树盛指出,威胁是指发生概率最高的项目,排名最前面表示该威胁发生的概率越高;至于冲击则是从损害的角度来看,排名越高表示造成的后果越严重;但不论是风险或者是冲击的发生,往往都是因为“趋势”造成的,换句话说,趋势的改变往往就会带来风险的改变,“所以关注趋势,就是关注未来的风险是什么。”蒲树盛说。

有七成企业过去一年曾遭到无预警的资讯与通讯中断

该份报告的前十大威胁中,蒲树盛表示,前三名威胁,依序是:网络攻击、资料外泄和无预警的资讯与通讯中断等项目,已经连续三年排名没有任何变动,也就是说,对企业的持续营运而言,造成企业无法持续营运的原因就是上述三个项目;其中,网络攻击的项目则包括常见的网络钓鱼、恶意程式以及DDoS(分散式阻断式攻击)等。英国则有将近九成(88%)的企业非常忧心或忧心企业会遭到网络攻击,造成企业无法持续营运。

资料外泄则是以机敏资料的遗失或遭窃为主,全球有81%的企业非常忧心或忧心企业资料一旦外泄,公司可能就会面临无法营运的风险,非常忧心的企业比例甚至将近过半(47%)。

蒲树盛也特别提及,忧心供应链中断的威胁近几年都一直在前十大的排行榜中,以发生概率的威胁而言,34%的受访企业表示,供应链损耗已经造成一百万欧元的累计损失,更有一成的企业(9%)表示,曾经遭遇过单一的事件并造成企业一百万欧元的供应链损失。

至于无预警的资讯与通讯中断不仅是最常发生的前三大威胁之一,更是对企业造成无法持续营运排名第一名的冲击。蒲树盛指出,现在的企业高度依赖各种IT系统提供服务,不仅发生的概率高,一旦发生后,对企业带来的冲击更是难以想像,甚至可能直接造成企业无法继续营运。根据该份报告也显示,有超过七成(72%)的英国企业在过去一年中,曾经遭到无预警的资讯与通讯中断,而也有将近四成(38%)极度担心这个威胁的发生。

不过,网络攻击原本是排名第一名的威胁,冲击排名第四名,但从该份报告中也可以发现,有过半(54%)的全球企业非常担心遭到恶意程式或者是DDoS攻击等网络攻击,但是只有35%的企业,曾经在过去一年遭遇到这样的网络攻击。实际上而言,网络攻击实际发生的比例,其实低于忧心发生的比例。

“掌握趋势就是掌握未来的风险,”蒲树盛表示,从该份报告发现,有八成的受访企业认为,使用互联网进行恶意攻击会对企业带来长期的威胁和不确定性,也是影响企业未来发展趋势排名第一名的项目。

也有53%的受访企业认为,如果没有做好社群媒体的管理,包括:商誉管理、错误消息和危机处理等,将可能影响企业的营运发展,若以近期全联爆发一连串的新闻事件来看,一旦未能妥善处理,就是企业的公关危机,也会立即影响到企业的持续营运状态。他也指出,50%的受访企业认为,流失重要员工将严重影响企业未来的持续营运,这也是台湾高科技业者的痛处之一。

蒲树盛表示,不论是前十大的威胁、冲击或者是趋势,都是台湾企业在做风险评估时,非常适合的风险评估项目之一,透过八二法则的掌握,资源较少的企业可以直接专注在前三项的选项,资源较多的企业可以进一步扩及关注的范围,让企​​业可以比较有弹性的去掌握可以掌握的风险项目。

他强调,所有的威胁、冲击或趋势,都不是一夕之间就会消失的项目,每一个存在都有其意义,都经历过六年的持续验证,如果可以善用相关的内容,对于企业在进行各种风险评鉴,都可以带来正面效益。

相关文章

最新资讯

  • 再加把劲,搜索大数据打通“粮草”梗阻的节点
    2020-02-14 14:01
  • AI科技助力高效防控!云知声 “疫情防控机器人…
    2020-02-14 14:01
  • 天猫国际:跨境消费正呈现普及化趋势
    2020-02-14 14:01
  • 华为云智慧园区多措并举,AI辅助中小企业复工
    2020-02-14 14:01
  • GCP改善单租户节点更新功能加入即时搬迁政策
    2020-02-14 14:51

手机

  • 如何自制一个带有拨号转盘的手机
    2020-02-15 21:49
  • 如何自制一个带有拨号键盘的手机
    2020-02-15 16:49
  • 超高规格旗舰小米 10 发表:一亿画素、50W 快充、DxO 相机音效双榜冠军
    2020-02-14 16:48
  • 折叠屏幕手机又被骂惨了 为什么卖得贵还做不好?
    2020-02-13 14:49
  • 三星 Galaxy Z Flip 折叠机开放预购 空机价 48,880 元
    2020-02-13 14:49

数码

  • 打令智能科技生态合作乐视 发布打令随时美系列…
    2019-02-22 13:47
  • 拼生态、练内功 百度智能机器人是怎样炼成的?
    2019-02-22 13:47
  • 智能家居大战:争夺1.3万亿市场
    2019-02-22 13:47
  • 联想发布摩托罗拉国行新品 整合还有哪些困难?
    2019-02-22 13:47
  • Apple Watch遇劲敌?
    2019-02-22 13:47

科技

  • 单论销售额 一加悄然间已成国产第三巨头
    2018-06-28 04:31
  • 龙湖冠寓加速项目落地 未来利润率瞄准10%以上
    2018-06-28 04:31
  • 憋屈了那么多年 终于换了个像样的房子 晒晒我家的新中式
    2018-06-28 05:31
  • ChinaRenaissancefilesforHongKongIPOwithavaluationofUSD4billiontoUSD5billion
    2018-06-28 05:31
  • 比NEX更牛 vivoXplay7曝光:搭载3D超感技术
    2018-06-28 05:31