打开网络弹性

2024 年 11 月白皮书 Getty Images 图片 ： Contents 前言 3 执行摘要 4 1 为什么网络弹性很重要 5 2 打开网络弹性 7 2.1网络弹性的演变72.2网络弹性的概念82.3网络弹性包括 IT 和 OT112.4影响因素11 312下一步 ： 从前线分享网络弹性实践 14Appendix 贡献者 18A1Methodology14A2网络弹性的定义14A3不同的网络弹性配置文件15A4更广泛的全球环境16 尾注 21 免责声明本文档由 世界经论坛作为项目、见解领域或互动的一部分。本报告中的发现、解释和结论是经世界经论坛促进和认可的合作过程的结果，但其结果不一定代表世界经论坛的观点，也不一定反映世界经论坛全体成员、合作伙伴或其他利益相关者的立场。 2024 年世界经济论坛所有权利©保留。本出版物的任何部分不得以任何形式或通过任何手段复制或传输，包括复印和录音，或通过任何信息存储和检索系统。 前言 Sadie Creese网络安全教授；牛津大学全球网络安全能力中心主任兼技术委员会主席 Akshay Joshi世界经济论坛网络安全中心负责人 我们通过提升网络韧性来实现业务韧性。众多国际标准和框架是良好的网络安全实践示例，能够指导我们的投资。然而，处理网络安全事件并做出最适合运营环境的决策需要实际的行动。在劳动力在网络风险管理工作能力方面存在显著缺口的时代，迫切需要从一线学习经验教训，并系统化和分享这些经验以提高整体水平。 在面对网络安全风险时保持韧性是任何依赖数字技术和数据组织的关键目标。这一目标在2024年几乎让所有企业的领导人高度重视。全球化供应链、技术栈的复杂性以及持续的数字化创新意愿导致了系统性网络安全风险的不断累积。 有效的网络弹性复杂且具有高度情境依赖性。我们如何实现它以及所使用的控制措施会根据具体情境而有所不同；面对不同类型的安全威胁，有效的方法可能并不相同。例如，抵御勒索软件攻击与抵御服务拒绝攻击（DoS）的方法截然不同，而防范系统意外故障所需的解决方案也不同于防范恶意威胁行为者出于破坏、盗窃或经济利益目的进行攻击的方法。 这份白皮书剖析了网络安全韧性这一概念，它是理解有效行动的前提。组织需要从整体角度考虑其网络安全韧性水平，包括在发生网络事件时涉及的过程及其对有形和无形资产的影响，以及评估不同业务领域受到的影响，并确定哪些流程应到位以减少恐慌并促进在压力时刻做出快速决策。构建网络安全韧性的生态系统看似 daunting，但从网络安全专家那里学习是打破障碍并朝着网络安全韧性的社会采取有效行动的第一步。 企业在面对攻击时应优先考虑业务或使命目标，决定采取哪种应对策略。首先应该解决什么问题？哪些功能可以暂时关闭，即使服务有所下降也必须保持运行？允许谁继续访问系统，谁必须被禁止访问直到事件得到解决？企业的基础设施受到了多大的影响？ 执行摘要 网络弹性很重要。 网络安全风险是组织的最高优先级之一，且威胁持续增加，自2020年初以来，这一事实已在世界经济论坛的全球风险报告中得到了强调。 这篇论文是由世界经济论坛、牛津大学全球网络安全能力中心以及行业网络安全领导者工作组合作完成的成果。这些领导者们聚集在一起，旨在解析网络安全韧性，并提供一个更广泛的战略定义，该定义考虑了对组织主要目标和目标至关重要的多种风险场景。这些风险包括供应链中断、信任和声誉攻击以及数据泄露带来的法律责任。2 挑战是动态的。由连接性和新兴技术带来的数字景观和基础设施的变革，极大地复杂化了威胁 landscape 和组织面临的网络安全风险。认识到个人和组织无法防止所有恶意攻击或网络故障，同时拥抱数字化带来的机遇，促使网络安全韧性（cyber resilience）的兴起。 组织必须为重大网络事件做好准备。持续投资于网络韧性能力使组织能够在面对网络攻击和其他网络事件时保持其主要目标和目的，确保其增长潜力不受损害。这包括确保运营能够恢复、减轻对内部和外部利益相关者的影响、恢复财务和交易表现、保护有形和无形资产，并释放新的增长潜力。 数字转型不断重塑和演变企业和政府。组织的主要目标和宗旨通常依赖于关键依赖数字技术的企业流程，且很少有模拟替代方案。尽管不同组织的主要目标和宗旨可能有所不同，但它们始终包括保护关键服务交付、相关方信心以及支撑价值和市场地位的核心资产。实现真正的网络安全韧性从根本上来说是一个领导层问题，并且对于保持股东价值至关重要。1 组织需要制定灵活的战略，并利用同行在实际经验中共享的见解来导航复杂的网络安全环境。主动合作和持续学习将在实现网络安全韧性方面发挥关键作用。 网络弹性是一个组织的能力将重大网络事件对其主要目标的影响降至最低。 为什么网络弹性很重要 在数字时代 thriving，组织必须将网络韧性视为战略领导议题，从而保护核心业务目标并促进长期增长。 专注于基本的安全控制以优先考虑信息安全与保障，并逐步增强网络安全韧性。在当今快速变化的技术和威胁环境中，组织必须基于重大网络事件必将发生的假设来运作。这些网络事件不仅有可能导致一台计算机或设备被破坏，还可能扰乱整个组织并显著影响社会。因此，确保业务能够有效运行并在面临中断时具备韧性，必须包括实现网络安全韧性。 在线连接的规模、范围和重要性是数字时代的标志性特征。接近70%的世界人口可以访问互联网和在线服务。3并且数字技术与过程已在全球政府、企业和社会的日常生活中以及工作中占据核心地位。 投资提升网络安全韧性可以降低网络事件的经济成本，并有助于提高组织的声誉。 网络安全韧性至关重要，如本白皮书所述，实现真正的网络安全韧性从根本上而言是一个领导力问题。 数字系统和服务对经济和社会的核心重要性意味着，如果这些系统受到攻击，组织和个人可能会遭受重大损害或损失。构成重大网络事件的标准因组织而异，但通常是指可能严重影响其运营、财务状况或声誉的事件。 具备网络安全韧性使组织能够最大限度地减少重大网络事件对其主要目标和目标的影响，从而保持关键服务的运行，保护相关方的信心并保护战略价值。 在这种方式下思考网络安全韧性突显了这一点，即这不仅仅关乎恢复常规业务运营。组织的主要目标和目标可能包括其提供关键服务的能力、保持市场份额、增加股东价值、增强品牌信心等；换句话说，就是维持组织健康所需的一切。 完整性受损——信息的准确性和完整性受到破坏（无论是由于蓄意破坏还是意外事故），都可能对整个商业生态系统和供应链产生影响。削弱保密性——缺乏对信息访问和披露的限制——可能会危及个人隐私并损害知识产权保护以及政府的国家安全保障。服务不稳定性和不可用性——授权方无法可靠地访问和使用信息——可能导致收入减少，在关键环境中还可能导致重要功能失效。更严重的是，此类故障的频繁发生可能会侵蚀社会对数字化转型作用的信心。 然而，网络安全韧性不仅仅是防护性的控制措施。业务和社会的网络安全韧性数字化转型具有推动创业创新、提高生产效率和促进经济增长的潜力。为了安全且可持续地抓住数字化机遇，组织必须将网络安全韧性视为核心战略问题，而不仅仅是信息技术方面的问题。 由于这些原因，政府和企业越来越意识到维持和保障数字系统安全以及限制网络安全事件对其主要目标和目标影响的必要性，无论这些事件是由技术故障、意外事故、非计划停机或自然灾害引起的。 投资提升网络安全韧性可以减少网络事件（例如数据泄露和知识产权损失）的经济成本，同时有助于改善组织声誉（如满足客户需求和打造安全产品品牌等）。4此外，根据一些估计，更具韧性的公司产生的股东回报率比其较不具韧性的同行高出约50%。5未能建立网络弹性可能会扰乱业务运营 ， 甚至导致组织的 随着社会技术的进步以及对网络空间和支撑其运行的数字技术日益依赖，对网络安全实践的理解已经演变。 一个具备网络安全意识的董事会更能未雨绸缪，处理突发事件，最小化损失，并监督形成组织的网络安全韧性文化。 此外，世界经济论坛、麻省理工学院（MIT）和普华永道（PwC）进行的独立研究记录了这种更广泛的有效网络安全实践构建在董事会层面的结果，包括更好的网络风险管理、网络安全问题与业务成果更紧密的对齐，从而促进安全文化的形成，并可能减少高达85%的网络安全事件。9,10 崩溃。6中小企业（SMEs）受到的影响可能尤为严重，有估计表明，在遭受网络攻击后，大约60%的中小企业将在六个月内关闭。7 领导层在推动组织的整体网络安全韧性方面发挥着至关重要的作用。这不仅仅依赖于一支有能力的网络安全团队，还需要一种文化，在这种文化中，网络安全韧性被置于高层关键决策的优先位置。有效的领导者积极介入网络安全战略，认识到网络安全是一项与法律和财务问题同样重要的核心业务功能，并且管理运营风险必然需要涵盖网络安全风险。一个网络安全意识强的董事会更能妥善应对突发事件，最大限度地减少损失，并监督形成组织层面的网络安全韧性文化。 通过构建和体现网络韧性思维模式，推广主动应对策略，关注新兴威胁并理解网络安全风险的广泛商业影响，高管可以确保其组织保持韧性并做好应对潜在挑战的充分准备。 网络安全韧性这一概念看似符合常识，但其并未始终获得应有的优先级。企业在面对网络安全事件时难以最小化对主要目标的影响并继续提供服务。韧性的重要性不容忽视，但许多组织在准备方面仍存在不足。这凸显了全面解析网络安全韧性概念并形成对其重要性共识的必要性。 来自世界各地的董事会组织，包括美国国家公司董事协会、欧洲董事协会联合会、日本工商会及其他组织 recently 发布指导意见，倡导更全面的网络安全观，促进基于更强韧性的理解。8 2打开网络弹性 网络安全弹性是指组织减少重大网络事件对其主要目标和目标影响的能力。 在当今数字化landscape中，了解网络韧性及其范围对于旨在保护其运营和声誉的企业来说至关重要。网络韧性被定义为组织在面对重大网络安全事件时，最小化对其实现主要目标影响的能力。 并且鼓励他们考虑自身在各个方面的脆弱性，以及如何限制潜在影响——无论是这些影响源自他们自身使用信息或运营技术，还是供应链或其他生态系统中其他方使用数字技术。 2.1 网络弹性的演变 网络安全涵盖了广泛的实践领域，从数据、信息和网络保护，到检测和减轻网络攻击，还包括与风险管理、政策和立法发展相关的较少技术性的概念。如今，网络安全被认为是数字化经济发展的基础。11,12,13 尽管自2010年代以来，网络韧性已经被更加精明的专业人士和受更严格监管的行业所实践，但它作为主流概念的出现却要晚得多。由于破坏性攻击和数据泄露对受害组织核心运营造成的日益严重的损害，以及对其声誉和财务表现的重大伤害，网络韧性已经引起了经济各个行业的董事会的关注。这一认识促使焦点从网络安全转向更广泛的网络韧性概念，并正在改变领先企业的前线实践。 伴随数字化革命的推进，网络安全领域已经发展成为一个多方面的领域，并且成为各个学科的关注点。特别是在过去的15年里，由于网络事件数量的增加，网络安全问题频频登上报纸头条、在线文章和社交媒体。当然，这种威胁的存在远早于这一时期，最早的计算机蠕虫实验性开发可追溯到1971年。14 从网络安全转向更广泛的网络韧性概念正改变领先组织的一线实践。 描述从数据安全到网络安全弹性的发展历程，有助于揭示数字时代所面临的威胁和挑战如何演变，并突出网络安全实践是如何被塑造以保护社会免受这些威胁的影响。 2.2 网络弹性的概念 网络安全并不等同于网络弹性；然而，网络安全是实现网络弹性的必要条件。 网络环境。 “15即使在这里，“网络”一词的使用，如在网络资源和争议性网络环境中的使用，仍具有一定的解读空间，这可能导致组织采取过于狭隘的方法来管理其风险暴露。 Numerous 对应的定义存在于网络弹性（cyber resilience）中（详见附录A2部分）。在这些定义中，本论文最为相关的定义是由国家标准与技术研究院（National Institute of Stan