英国政府表示,董事们的注意力在疫情期间下降之后,已重新转向网络安全。
英国数字、文化、媒体和体育部 3 月底进行的一项调查显示,82% 的组织认为网络安全是首要任务。
相比之下,2021 年这一比例为 77%,当时受新冠疫情影响,企业将重点放在业务连续性上。
然而,网络犯罪分子并未就此罢休。全球治理、风险和合规专家 Diligent 表示,英国企业因员工在家办公导致的网络攻击损失了 3.74 亿英镑。
人们对网络安全的关注可谓恰逢其时
上个月,评级机构穆迪警告称,俄罗斯入侵乌克兰增加了全球网络攻击的风险。穆迪表示,关键基础设施将成为主要目标,尽管私营企业也面临更高的攻击风险。
今年3月,英国国家网络安全中心呼吁英国所有机构加强网络防御,以应对这场战争。
美国国土安全部向公司董事强调了让首席信息安全官参与决策的重要性。官员们还敦促公司降低向当局报告网络事件的门槛。
英国工业联合会数字政策负责人苏珊娜·奥德尔表示:“在风险加剧的时期,企业必须明智地利用时间,确保网络安全。”奥德尔表示,虽然目前还没有关于英国企业面临具体威胁的报道,但网络攻击不可避免。
DCMS 表示,尽管英国董事会正确地认识到了网络安全的重要性,但很少有人采取行动。其原因在于董事会缺乏专业知识,以及董事们对网络问题复杂性的担忧。
DCMS 调查发现,只有 62% 的英国大型企
业设有专门负责网络安全的董事会成员,而金融、保险、信息和通信公司的情况更是如此。
奥德尔表示,董事会必须学会提出正确的问题。她指出,NCSC工具包是一个有用的起点。
为关键基础设施领域公司提供咨询的圣达菲集团 (Santa Fe Group) 董事长凯瑟琳·艾伦 (Catherine Allen) 表示,在特殊时期,公司应该“加强防护”,提高网络安全意识。
艾伦强调了全天候监控、多因素身份验证、更改密码以及加强培训和网络钓鱼练习的重要性。她回忆说,她以前的雇主、美国公用事业公司埃尔帕索电力公司每天都会遭受来自国家的网络攻击。
英国国家网络安全中心的国家恢复主管保罗·麦丁森 (Paul Maddinson) 表示,英国国家网络安全中心在关键国家基础设施的所有领域开展工作,以保持恢复能力。俄罗斯与中国、伊朗和朝鲜一样,一直活跃在国家网络活动中。
然而,麦丁森表示,对于大多数英国组织
而言,最大的威胁来自网络罪犯,而 手机号码数据 非民族国家。勒索软件是一个特别的问题。黑客利用这种恶意软件劫持用户数据,并索要赎金以归还数据或阻止数据传播。
2021 年,美国网络安全公司 SonicWall 的研究人员记录了全球 6.2 亿起勒索软件攻击,是 2020 年总数的两倍多、2019 年的三倍。DCMS 表示,在英国,56% 的公司有拒付勒索金的政策。
由于董事会通常缺乏网络专业知识,董事们需要管理层向他们提供有关主要风险的明确信息。专业服务公司 Aon 旗下的网络咨询公司 Stroz Friedberg 的联合创始人 Eric Friedberg 表示,董事和经理们应该创建一个模板来识别风险和理想的安全状态。
董事会和管理层应该制定公司计划,说明如何以及何时实现目标。
弗里德伯格表示,通过明确临时风险
董事会可以更好地决定 如何开始数字营销? 采取何种力度的补救措施。“董事会关于网络的演示应该确定哪些补救计划进展顺利、哪些计划被推迟或存在风险:绿色、黄色、红色系统是有帮助的,”他说。
DCMS 担心 IT 人员往往缺乏能力来说 电话列表论坛 明为何应该将投资用于网络安全,这意味着风险被置于低优先级,资金被用在其他地方。因此,董事会必须在对 IT 人员的信任与自身判断业务案例的技术优劣的能力之间取得平衡。
不这样做会造成损失。DCMS 表示,过去 12 个月中,中大型企业每次网络攻击的平均成本为 19,400 英镑。
“有时,IT 专业人士会将网络安全视为‘技术问题’,”麦丁森说。“但这误解了网络事件的严重性——可能会影响组织的运营、财务和声誉。”
