2023网络安全重要趋势

kpmg.com/cyberconsiderations 年应聚焦网络安全方面八个关键词 请点击各项了解详情 以“无形”措施护航安全 数字信任正引起关注 业风险、产品开发和数据管理一样，是一项重要的战略业务要素。世界经济论坛在其“Earning digital trust:Decision-making for trustworthy technologies”（《赢取数字信任：为可信任技术制定决策》）报告中提及：“获取数字信任需要一套整体的方案，而网络安全是建 越来越多高层管理者意识到数字信任的裨益：37%的高管认为能促进盈利增长是信任提升的最大商业优势。数字信任涵盖广泛。网络安全广泛关联到数字信任的问题（包括可靠性、安全性、隐私性和透明度）。它们会影 透明性对不同受众有着不同的含义。当网络安全事件发生，消费者要求企业公布相关情况时，企业必须也了解其供应商和合作伙伴如何保护用户信息。这是因为企业应对客户承担更多责任，并确保在个人信息保护方面不辜负客户的信任。 参阅以下报告了解详情 能接受，用户才是您最好的防火墙。 79% 的企业对首席信息安全官能够绘制企业内部关键数据流转情况具有信心。 的企业对首席信息安全官能够识别其最有价值数据具有信心。 将安全融入企业业务，在某种程度上可以帮助员工自信工作、高效决策，并在他们的岗位上持续保护企业信息。这虽然充满挑战，但仍是首席信息安全官的关键目标。 人们很容易将安全视为工作的障碍，首席信息安全官只有结合用户和业务角度考量安全性，才能改变这种观点。 78% 的企业确信首席信息安全官充分了解有多少敏感数据已被传送到第三方，以及这些数据已受到妥善保护。 最重要的一点是，我们需要了解在何时以何种方式构建信息安全管控措施，以及增强安全管控措施后对企业的影响。世上不存在绝对的安全性。若首席信息安全官试图使用最为严格的安全管控措施在任何时候保护任何信息，则可能全盘皆输，因为用户会设法规避这些安全管控措施。首席信息安全官需结合具体业务流程的重要性及其可能产生的风险，设计相应的安全控制。 信息来源：《2022年毕马威网络信任洞见调查》 参阅以下报告了解详情 在无边界环境中，企业如何保护、使用和分享数据的难点，是削弱利益相关者对企业数据使用及管理能力信任度的首要因素。 基于公共及私有基础设施，以及分布式用户生态系统的更为广泛的受攻击范围提供保护。 因此，他们必须以信任为基础，确保所有设备在任何时候，任何地点的安全性，从而为业务提供保障。 的高管认为“对已实施的安全治理机制缺乏信心”是削弱利 参阅以下报告了解详情 给第三方服务供应商，但数据安全及身份与访问管理相关控制仍然属于内部职责。 的受访者表示，与供应商 参阅以下报告了解详情 了解应保留的安全职能 和构想，才能为企业赋能。基于对业务构想 建立可信任的人工智能模型 参阅以下报告了解详情 Ismy AIsecure? （《我的人工智能是否安全？》） 了解人工智能为您的企业带来的网络风险。 Trustin artificial intelligence: Global insights 2023 （《信任人工智能：全球洞察2023》） 探讨人们对人工智能的信任以及人工智能为企业和社会带来的裨益与风险的全球调研。 The pathto transparency —and trust （《通往透明度与信任之路》） 官不应被动地等候下一波法规的到来，也不应仅依赖监管，而是要主动、务实地在产品生命周期和供应链中实施安全控制措施。这绝非小事，首席信息安全官与企业内其他职能的合作程度决定了此事的成功与否。 的首席执行官承认他们对 网络攻击准备不足（2021年为13%）。 几乎所有行业的企业均在转变其产品思维，以专注于开发互联网赋能的服务并管理配套设备。随着企业逐渐意识到产品安全具有同等重要性后，首席信息安全 参阅以下报告了解详情 及发现攻击者入侵行为所需的时间，是数小时、数日、数周还是数月。 们的网络安全水平落后于原定规划。 非法攻击者从入侵企业到全范围激活勒索软件的时间所需的时间越来越短，越来越多的非法攻击者以及有国家队攻击者通过自动化渗透工具，加速对企业系统的渗透。企业应优化和标准化安全运营流程，使其能在安全事件发生时尽快恢复核心业务和服务，从而降低安全事件对客户及合作伙伴的影响。 逾 50% 的企业对网络威胁应对表示非常自信，包括应对来自有组织犯罪集团、内部人员或被入侵的供应链。 网络攻击者有两项明显动机：利用漏洞与制造混乱。他们利用漏洞系统是为了窃取或篡改数据，无论是出于获取情报还是欺诈目的；制造混乱是为了勒索或获取政治利益。其中的攻击手法各不相同。 59% 的企业同意，攻击者利用的是供应链上下游企业的漏洞，但不清楚其安全防线能否阻挡攻击者的入侵。 某些有国家背景的攻击者专门攻击关键的基础设施，如输油管、电力公用设施和金融系统。他们的目的是造成伤害或混乱并施加政治或经济影响，从而为攻击者及其支持者谋利。 其意图是从其他人的不幸中获利。 内部挑战是缺乏关键技能人才（40%）。 网络攻击事件的成功率已大幅增加，导致近几年勒索软件攻击数量激增。如果安全人员不能有效应对这些攻击，此情况仍将可能持续。 信息来源：《毕马威全球科技报告2022》 参阅以下报告了解详情 业正担心如何应对日益复杂的全球监管态势。 划，而不是等网络安全事件发生时才验证此类计划。 36% 的企业担心由于其业务已外包到数字服务供应商，他们能否满足现行或新的网络安全法规。 每个安全系统都有自身的缺陷。几乎所有企业终将在某个时刻遭遇或大或小的安全事件，很可能不止一次。监管机构日益关注高风险企业——尤其是能源、金融和医疗保健等具有战略重要性的行业中的企业——需关注业务连续性并做好恢复计划。 31% 的企业担心关键基础设施要求增加。英国、欧盟和美国正对此领域实施越来越严格的监管。 最引人瞩目的问题或许是，企业通常未意识到网络安全事件的影响时间以及业务恢复时间过长的问题，通常不止72小时或96小时。企业应预想到最坏的情况是网络安全事件造成了大规模业务中断。在很多案例中，企业高管不能完全理解其内部的技术关联关系，以及业务运营对这些关系的依赖性，如向员工、供应商付款以及与客户和投资者沟通等。 28% 的企业担心现行或新的与关键系统业务连续性有关的法规。 的企业担心面临更严格的安全事件上报机制。 信息来源：《2022年毕马威网络信任洞见调查》 企业必须建立相关架构并了解网络安全事件的 参阅以下报告了解详情 在业务连续性方面，监管法规对部分企业可能仅是基本要求，而对某些企业则极难实现。多数企业为后者，因此，他们会仅按最低限度履行法规义务。监管法规也可被视为基本要求，因为企业往往可在此基础上采取新的或不同的行动。 监管在企业业务连续性方面发挥着关键作用，但往往需要协调与对接。这已成为首席信息安全官面对的最大挑战之一，因为监管要求已扩展涵盖企业的供应链。他们需要担心的不再仅是企业的整体情况，还需要考虑供应商与其他主要的合作伙伴的影响及其是否符合相关法规 ， 也需考虑客户和投资者对企业在European Cyber Resilience Act遵从度方面的影响。 （《遭遇网络攻击后》） 遭遇网络攻击后的抵抗、恢复。 业务连续性最终是一个企业层面的问题，网络安全连同业务连续性等其他恢复能力和要素在其中扮演关键的角色。首席信息安全官可协助企业主动为重大网络安全事件做好规划，此类事件在性质、规模和处理方式可能与传统的技术或资产事件有所不同。随着企业日益关注此类情况及其影响，许多首席信息安全官还可能应承担范围更广的企业业务连续性职责。 From continuity to resilience 随着人们对电力的依赖性增大，企业更应增强主动性和韧性，以确保业务连续性。 这是首席信息安全官角色的又一次蜕变。 Incident readiness: Aplaybook for your worst day （《安全事件准备度：最坏情况应对攻略》） 为网络安全事件做好准备可尽量减少关键电力及公用基础设施运行中断。 首席信息安全官与其他业务线可在来年采取哪些行动，以助确保安全性成为企业保障的重要脉络？下文列举了可供首席信息安全官考虑的若干可行步骤，以助缩短业务恢复时间、减少安全事件对员工、客户及合作伙伴的影响，并确保安全计划能为企业赋能，避免其暴露于风险之下。 数据与技术 优先建立完善的网络安全培训体系和文化，并确保此类培训有趣、富有吸引力，以激励员工正确行事并发挥防护作用。 确立网络风险管理方案 ，并了解威胁场景和攻击路径，以协助企业缩小被攻击面并识别控制优化重点。 顺应安全职能自动化这一必然趋势，对先进技术工具赋予信任，如机器人流程、“安全调度、自动化及响应”（SOAR）及扩展侦测及响应（XDR）系统。 持续跟踪不断变化的监管趋势和影响因素，以及它们对公司的未来科技战略、产品开发和运营意味着什么。 构建一支具备管理无边界企业（ 包括云平台与第三方供应商）能力的安全团队。 重点关注有效且用户可接受的信息安全流程。 考虑监管对人工智能和自动化的影响。明确企业在这些领域中哪些可行、哪些不可行；并灵活应对公众疑虑和不断变化的期望。 通过与云服务供应商合作了解如何进行云上产品与服务配置，以避免操作失误中产生的漏洞。 建立严格的身份鉴别和访问控制机制，并致力实现良好的身份治理及服务水平。 开展广泛、清晰的沟通。询问企业的其他职能领导以了解其痛点和自动化流程可提供的帮助。 在探索新兴技术时首先考虑网络安全及隐私问题，包括与人工智能系统应用有关的多变风险。 在合规监控与报告自动化上作出尝试，并指派专人关注隐私及安全监管的最新发展。 对旧环境进行区域划分以减少受攻击面并协助遏制网络攻击。 采取跨领域、跨文化方法，建立一个包含内部业务专员、安全专业人员、数据科学家、隐私案件律师和外部政策及行业专业人士的安全生态系统。 就如何处理和管理关键数据以及关键数据如何支持关键业务流程，分配职责并建立问责制度。 根据公司的整体业务战略调整安全与隐私合规战略，以确保企业上下全体利益相关者一致行事。 制定恢复计划，重点关注组织最关键的工作流程， 并经常进行沟通结构和压力测试。 为提升速度 、可扩展性和信任度，企业应尽早采用 “身份即服务”技术。 在致力遵循监管规定外，深入思考数字信任的含义以及如何使之成为战略思维的核心。 将自身融入企业，作为同行、参谋及顾问。 上至董事会议题到数据中心运营，毕马威均有着丰富的服务经验。除了评估您的网络安全现状并使其匹配您的业务重点外，毕马威专业人士还可助您开发并实施先进的数字化解决方案、持续监控安全风险、有效应对网络安全事件。无论您的网络安全项目正处于何种阶段，毕马威均可助您实现目标。 作为网络安全服务的领先供应商和实施方，毕马威了解如何开展先进的安全服务和构建符合贵企业需求的创新方案。提供网络安全服务时，我们还可分阶段进行项目交付。因此，无论您采取何种业务合作方式，我们均可甄选了解您的产品和技术的专业人士为您服务。 无论您将进入新市场、推出新产品及服务还是以全新方式与客户互动，毕马威专业人士均可助您预测未来、迅速行动并以安全、可信任的技术建立优势。依赖我们拥有丰富的技术经验、深厚的业务知识以及致力于助您赢得并保持利益相关者的信任的创新人才，这三者的结合造就了不凡的服务体验。 毕马威，铸就不凡。 本报告的出版与全球各地同事的鼎力支持密不可分，特此感谢他们共同参与报告的设计、分析、撰写和制作。 Our Global collaborators