2017年7月15日,第一届CISO赋能安全峰会暨CISO发展中心启动大会,在北京海航大厦万豪酒店成功举办,下文系普华永道风险控制部合伙人李睿的演讲内容整理:
大家早上好,我是普华永道风险控制部的合伙人李睿,在过去十年里,我主要做两件事情,一件事是做美国上市互联网公司的IT审计,另一件事就是做网络安全管理和合规方面的工作。
在安全领域,企业内部跨条线的合作也是越来越多。目前,我所能够接触到的部门,包括IT部门,网络安全部门,审计部门,合规部门,还有风险管理部门等等。 同时我们也会发现,安全是散落在企业各个部门里面,而且安全工作很多时候是跨部门甚至需要跨行业来进行沟通协作才能完成的。
一、2017全球信息安全状况调查报告
在2016年4月,普华永道和CIO与CSO杂志联合开展了全球范围调查研究,我们做了一份报告《2017年全球信息安全状况调查(The Global State of Information Security® Survey 2017)》,本次调研的对象来自CIO和CSO杂志的读者与普华永道的客户群体,涵盖133 个国家,我们收集了超过10000份来自CEO(首席执行官)、CFO(首席财务官)、CIO(首席信息官)、CISO(首席信息安全官)、CSO(首席安全官)、VP(副总裁)以及IT与安全总监的调研数据。
从受访者的地域分布来看,34%来自北美,31%来自欧洲,20%来自亚太地区,13%来自南美, 3%,来自中东和非洲,而且其中48% 的受访企业年收益超过五亿美元,中国内地及香港的受访者超过440位。同时我们收集超过40个问题,这些问题涉及信息与隐私保护,企业对先进安全技术的运用等等,最后从这份报告中看到一些趋势。
二、中国内地及香港企业的信息安全事件持续增长
调研表明,中国内地及香港企业的信息安全事件持续增长,在此次调查中,此次调查中,中国企业检测到的信息安全事件平均数量是去年的两倍,比2014年更是增长了969%。当然,随着互联网的发展,企业在内外部的安全层面的意识也在不断提升。所以我们发现2016年,全球信息安全事件数量有所下降,但是工业产品、医疗保险、金融服务、娱乐及媒体和电信行业,检测到的网络安全事件的数量有所增加,其中电信行业增加了70%。
值得一提的是,2016年,全球企业信息安全预算持平,而中国内地及香港预算反而有削减。我想这也是很多CISO和企业信息安全负责人所面临的难点和问题,如何在企业内部向自己的CEO和业务证明价值,能够获得更多的预算和更多的支持。
三、信息安全事件的主要源头
接下来,我们来分析一下信息安全事件的主要源头。我们的调查结果表明,发现内部人员仍是网络安全的最大威胁,主要包括现有及离任雇员、服务供应商、供应商/商业伙伴,而导致的中国企业信息安全事件数量持续上升。
现在,银行对整个的人员的控制和安全管理是非常强的,但是还是有很多柜员偷卖顾客信息,据说在黑市上,个人信息加上电话号码,在黑市能卖300块,所以很多人铤而走险,他们会用手机拍照,如果银行有摄像头监控,他们就会把个人信息从系统中打印出来,跑到没有摄像头的地方拍出来。可以发现,即使控制非常严格,但是还是有一些可以绕过的方法。调研结果也表明,内容人员是网络安全的最大威胁。
还有一些因素,比如说因为跳槽,还有有组织的犯罪和黑客,亦或是受到黑产商的经济利益的驱动。刚刚提到的个人信息,如果300块钱一条的话,实际上每天要10条已经3千块了,他们是受到很大的利益所驱动。另外还有就是竞争对手,我们的调查也发现,34%的中国内地及香港的受访者将企业遭遇的信息安全攻击归因于竞争对手,高于全球数值(23%)。
此外,数据调查也表明,消费者技术(物联网IOT)是中国企业最易受到攻击的薄弱点,近几年,物联网市场的规模飞速增长,但是社会对物联网产品安全意识的缺失,导致了消费者技术(包括网络摄像机,家庭自动化等)成为极易受到攻击的对象。比如很多家庭摄像头的密码都是弱密码,很多黑产都在售卖这些数据。如果安全问题解决不好,那么必然会对物联网产业带来很多不好的影响。还有运营技术(也称工业物联网(IoT))迅速发展同时,网络安全的意识不足,这导致运营技术(如工业控制系统)一跃成为中国内地及香港企业仅次于消费者技术的易受攻击对象,平均安全事件数量比去年增长约22倍。
当然,以网络钓鱼欺诈为主要途径,商务邮件受攻击、勒索软件对商业的威胁也日益加大,这也是让企业最为头疼的问题。目前,49% 中国内地及香港受访者表示,商务邮件是遭到安全攻击的首要重灾区,而钓鱼欺诈是主要手段。全球比例是38%(比例的受访者表示网络钓鱼欺诈行为是信息安全攻击的主要手段)。
四、信息安全的投资方向与重点
以上我们阐述了造成安全事件的一些原因,那么问题就是,现在企业的信息安全投资的方向和重点应该在哪里呢?接下来分享一下,普华永道对信息安全的投资方向与重点的一些看法。
首先,88%中国内地及香港受访企业认为,他们在信息安全上的投入受到了数字化的影响,而安全也会配合数字化生态转变的整体战略。今年投资的重点为,升级中的商业模式和物联网环境下需要的新型安全保障。而2016年信息安全投资的三大重点是:与企业商业战略和安全维护策略匹配;生物识别技术和先进认证,以及着眼于物联网的信息安全投入。
从另一个层面,我们也可以看到中国企业在人工智能和机器学习等先进安全技术方面的投入位于世界前列。在过去1年,我主要在东南亚地区工作,跟很多东南亚地区的互联网公司和金融机构在打交道,他们常常问我一个问题,中国进十年来到底发生了什么?以前,大家还觉得跟中国处于同一个水平,但是现在,我们的的手机可以随时通过WiFi来链接冰箱、空气净化器还有洗衣机,而且基本上大家都不用带现金出门,他们很诧异,中国到底发生了什么事情?其实,中国的很多创新,即使站在全球的视角来看,都是非常靠前的,也是非常先进的,而在安全层面,我们看到31.5% 中国内地及香港受访企业表示将会在先进安全技术方面投入资金,全球这一比例仅为23.5%。
五、完善安全防护、降低风险的措施
最后部分,我来分享一下,受商业数字化的影响,企业完善安全防护和降低风险的措施。第一个趋势,就是企业对云模型技术信心提升,开始利用云技术处理更为敏感的业务。调研数据表明,在中国内地及香港受访企业中,我们观测到有45%的IT系统很有可能在云技术之下运行,约三分之一的企业则将其运营、市场和销售业务委托给云服务提供商。
第二个趋势,很多受访企业表示,开始更多的使用开源软件,来提升信息技术服务效率与信息安全水平。75%中国内地及香港的受访者使用开源软件,其中有49%认为开源软件有助于提高信息安全水平,很多人认为,越开源就越透明,就越安全。而且,开源软件延展性更好,开发也比较便捷,能够很多落地新项目,所以越来越受到企业的青睐。
第三个趋势,随着物联网(IoT)持续发展,企业也在相应升级信息安全与隐私保护机制。57% 中国内地及香港受访企业表示,他们在主动采取措施,以升级设备与系统的连接性、数据管理以及员工培训。
六、网络安全中的数据隐私保护
2017年6月,《网络安全法》正式实施,其中最重要的一块就是针对个人隐私的保护。我们也看到中国越来越多的企业对隐私保护的重视,63%中国内地及香港的受访企业正在升级其隐私策略和程序,通过培训来提升保护意识,并且为大数据分析项目实施隐私评估,这一百分比高出全球(56%)。一方面,因为中国的法律法规越来越严,另一方面,中国现在走向全球化,需要在跨境数据传输的合规性。
刚刚跟大家分享了普华永道关于2017年全球信息安全调查报告,这里我还想分享一下,普华永道2017年全球CEO年度调研报告,其中有一个问题,就是CEO的眼中安全是什么。报告认为,CEO普遍关注到技术和信任对于企业发展的重要性以及信息安全的影响,对中国内地CEO来讲,新的市场的进入者是他们最大的商业威胁,但是,技术人员跟安全保障有着不可隔断的关系。
我们看到的整体的趋势是,安全越来越往前走,而且正在发生融合。我们这几年都在讲安全「无边界」,这不仅仅是讲企业跟客户之间应没有边界,我们也应该看到更大的趋势,那就是企业内部的各个系统之间,也正在变得「无边界」。希望CISO发展中心能够聚合企业CISO的力量共同探讨应对企业网络安全的挑战。感谢大家。
