APP下载

【资安周报第72期】企业营运十大威胁出炉,前三大都得靠IT

2018-01-16 08:25

英国营运持续协会连续第六年发布地平线扫描报告,并公布前十大最容易造成企业持续营运的威胁、冲击和趋势的项目,都可以作为企业风险评估的选项参考。

图片来源: 

iThome

过去两周,全球因为勒索蠕虫WannaCry(想哭)的威胁,不仅让许多遭到勒索蠕虫威胁的企业想哭,许多IT部门和资安部门人员,更是日以继夜的不停加班,就是为了尽快修补微软于今年三月,就已经对外公布的MS17-010关于SMB通讯埠的漏洞。

对于许多企业的公司营运而言,这些突如其来的资安威胁,便如同是遭到网络攻击一般,严重的威胁甚至可以造成企业无法顺利营运,例如,想哭勒索蠕虫一旦绑架企业的ERP系统,加密所有的营运资料,一旦企业没有做好万全的营运资料备份,面对公司如何继续营运,或者是支付等同300美元的比特币以换取解密金钥,两相衡量情况下,孰轻孰重便已一目了然。

企业被勒索蠕虫绑架的感觉,就像是遭受到突如其来的网络攻击一样的束手无策。但实际上,企业遭遇到的这类资安威胁,所感受到的恐惧与不安,已经是现在相当普遍的现象。

根据英国营运持续协会(Business Continuity Institute,BCI)连续第六年定期公布的地平线扫描报告(Horizo​​n Scan Survey),企业遭受到的前十大威胁(Threats)中的前三名,已经连续三年排名和内容不变,且前十名的威胁也和世界经济论坛(WEF)揭露的威胁内容相仿,尤其是网络攻击和无预警的资讯与通讯中断,已经成为企业持续营运时,所面临的共通威胁之一。

台湾BSI总经理蒲树盛建议,该份报告揭露的内容,不论是威胁、冲击或者是趋势,都是台湾企业可以作为风险评估选项的参考内容,一般而言,每个项目的前三名都应该是百分之百都该重视的项目,如果企业拥有的资源更多,可以涵盖的风险范围越广的话,就可以透过八二法则,参照该优先级作为企业风险评估的优先项目。

企业面对资安风险,仍可参照八二法则做排序

资安专家李伦铨分析这次WannaCry灾情时曾表示,上次蠕虫登上报纸头版已是十多年前的疾风蠕虫(Blaster),但十多年后,当想哭勒索蠕虫再度登上头版,他说:“即使经历十年的生聚教训,面对不一样的资安威胁时,对企业而言,结果仍旧是同样的束手无策。”

蒲树盛则表示,有许多企业导入资安、个资或是企业营运持续的相关验证时,都会开始鉴别企业所面临的营运威胁和冲击是什么?但就他观察,其实许多台湾企业因为产业型态和规模大小不一,在鉴别威胁和冲击的项目上,并不完整,蒲树盛说:“有些时候就是因为鉴别的威胁项目不够完整,反而容易造成无预警的风险甚至是服务中断。”

他认为,透过营运持续协会归纳出来的十大威胁和十大冲击,就是企业在做风险评鉴时,可以直接纳入评估的项目。而这份地平线扫描报告的调查也显示,全球每3间受访企业中,就有2间企业将该份报告的威胁、冲击和趋势,作为企业风险评估的项目之一;也有21%的企业愿意提高企业持续营运的相关预算;此外,也有63%的受访企业是直接采用ISO 22301作为企业营运持续的指导原则。

若以该份报告最重要的三大分类来看,包括威胁(Threats)、冲击(Disruptions)和趋势(Trends),蒲树盛指出,威胁是指发生概率最高的项目,排名最前面表示该威胁发生的概率越高;至于冲击则是从损害的角度来看,排名越高表示造成的后果越严重;但不论是风险或者是冲击的发生,往往都是因为“趋势”造成的,换句话说,趋势的改变往往就会带来风险的改变,“所以关注趋势,就是关注未来的风险是什么。”蒲树盛说。

有七成企业过去一年曾遭到无预警的资讯与通讯中断

该份报告的前十大威胁中,蒲树盛表示,前三名威胁,依序是:网络攻击、资料外泄和无预警的资讯与通讯中断等项目,已经连续三年排名没有任何变动,也就是说,对企业的持续营运而言,造成企业无法持续营运的原因就是上述三个项目;其中,网络攻击的项目则包括常见的网络钓鱼、恶意程式以及DDoS(分散式阻断式攻击)等。英国则有将近九成(88%)的企业非常忧心或忧心企业会遭到网络攻击,造成企业无法持续营运。

资料外泄则是以机敏资料的遗失或遭窃为主,全球有81%的企业非常忧心或忧心企业资料一旦外泄,公司可能就会面临无法营运的风险,非常忧心的企业比例甚至将近过半(47%)。

蒲树盛也特别提及,忧心供应链中断的威胁近几年都一直在前十大的排行榜中,以发生概率的威胁而言,34%的受访企业表示,供应链损耗已经造成一百万欧元的累计损失,更有一成的企业(9%)表示,曾经遭遇过单一的事件并造成企业一百万欧元的供应链损失。

至于无预警的资讯与通讯中断不仅是最常发生的前三大威胁之一,更是对企业造成无法持续营运排名第一名的冲击。蒲树盛指出,现在的企业高度依赖各种IT系统提供服务,不仅发生的概率高,一旦发生后,对企业带来的冲击更是难以想像,甚至可能直接造成企业无法继续营运。根据该份报告也显示,有超过七成(72%)的英国企业在过去一年中,曾经遭到无预警的资讯与通讯中断,而也有将近四成(38%)极度担心这个威胁的发生。

不过,网络攻击原本是排名第一名的威胁,冲击排名第四名,但从该份报告中也可以发现,有过半(54%)的全球企业非常担心遭到恶意程式或者是DDoS攻击等网络攻击,但是只有35%的企业,曾经在过去一年遭遇到这样的网络攻击。实际上而言,网络攻击实际发生的比例,其实低于忧心发生的比例。

“掌握趋势就是掌握未来的风险,”蒲树盛表示,从该份报告发现,有八成的受访企业认为,使用互联网进行恶意攻击会对企业带来长期的威胁和不确定性,也是影响企业未来发展趋势排名第一名的项目。

也有53%的受访企业认为,如果没有做好社群媒体的管理,包括:商誉管理、错误消息和危机处理等,将可能影响企业的营运发展,若以近期全联爆发一连串的新闻事件来看,一旦未能妥善处理,就是企业的公关危机,也会立即影响到企业的持续营运状态。他也指出,50%的受访企业认为,流失重要员工将严重影响企业未来的持续营运,这也是台湾高科技业者的痛处之一。

蒲树盛表示,不论是前十大的威胁、冲击或者是趋势,都是台湾企业在做风险评估时,非常适合的风险评估项目之一,透过八二法则的掌握,资源较少的企业可以直接专注在前三项的选项,资源较多的企业可以进一步扩及关注的范围,让企​​业可以比较有弹性的去掌握可以掌握的风险项目。

他强调,所有的威胁、冲击或趋势,都不是一夕之间就会消失的项目,每一个存在都有其意义,都经历过六年的持续验证,如果可以善用相关的内容,对于企业在进行各种风险评鉴,都可以带来正面效益。

相关文章

最新资讯

  • Fujifilm X-Pro 3 官方提早自爆,50mm F1.0 明眸准备出击!
    2019-09-21 23:49
  • 【提早自爆】Fujifilm X-Pro 3 反转传统,伙拍 50mm F1.0 下月登场!
    2019-09-21 22:52
  • “新裂变”创造新价值,华为云最新全球市场进…
    2019-09-20 17:49
  • 华帝蒸烤一体机又获奖了! 速蒸嫩烤,一机双全…
    2019-09-20 17:49
  • 释放年轻市场潜力,看OPPO营销平台如何玩出年…
    2019-09-20 17:49

手机

  • Belkin三款BOOST↑CHARGE无线充电架上市 支援QC 3.0车充、桌上充都搞定
    2019-09-21 16:46
  • 出绝招?华为考虑解除Mate 30系列手机的bootloader封印 以因应无法预载Google原生服务带来的影响
    2019-09-21 14:47
  • 浑身上下充满个性线条 夏普 SHARP AQUOS R3 智能手机开箱/拍照成果/功能介绍/评测/心得
    2019-09-20 17:47
  • 日系加上 AI 真的不一样的 SHARP AQUOS R3 开箱评测(屏幕/拍照/性能完整测试)
    2019-09-20 17:47
  • 远传盛大开卖iPhone 11系列 早鸟礼引爆果粉热情
    2019-09-20 12:01

数码

  • ios13正式版要不要升级 ios正式版系统值得更新吗
    2019-09-20 15:49
  • 索尼游戏机直播活动时间几点开始 新品不含下一代主机
    2019-09-20 15:49
  • 苹果A13处理器怎么样芯片性能揭秘:设计更注重能效比
    2019-09-20 15:49
  • 小米mix 5g手机发布日期曝光 采用瀑布屏or折叠屏?
    2019-09-20 15:49
  • 华为mate30/pro国行版价格发布日期 中国上市时间售价
    2019-09-20 15:49

科技

  • 魅族16前期备货多的可能性不大 主要是有个魅族15挡着
    2018-07-31 12:31
  • 小米8探索版首销秒售罄不意外 一机难求还会维持一段时间
    2018-07-31 12:31
  • 没了亚马逊世界上近一半服务应用都要罢工
    2018-07-31 12:31
  • 为避免与宣传不符魅族性价比新机将延期
    2018-07-31 12:31
  • 侃哥:oppoR17曝光;iOS12泄露无线充电版AirPods
    2018-07-31 12:31