不要放松对信息和网络安全威胁的警惕

驾驭网络威胁，拥有稳健的信息安全管理措施

值得庆幸的是，如今在大部分企业的公司董事会、经理、员工都普遍认识到信息、数据和网络安全是一个关键的业务问题。他们可能已经制定了应对策略。许多公司正在开发强大的信息安全管理体系，但仍有许多公司尚未迈出第一步。即使是那些认为自己已经驾驭了关键风险的企业，仍存在着安全隐患。当企业的生存受到比网络攻击更难以捉摸的威胁时，注意力可能会被转移，比如客户群减少或成本增加。

 

这可能是致命的。为什么？

无论网络攻击的原因是什么，不管是数字破坏、现金勒索、窃取客户详细信息、出于商业、工业或政治原因的间谍活动，还是其他恶意目的等，其后果几乎肯定会对企业造成严重破坏，需要付出巨大代价才能修复。

 

攻击造成的不良后果可能是经济的、社会的或技术方面的，或者是这三者的结合。例如，如果攻击表明信息网络中存在漏洞，则需要采取技术措施来根除问题并防止其再次发生。在某些情况下，修复工作可能非常耗时，以至于最好更换所有受影响的设备才能确保威胁无法重新激活。

 

 

这便是一家领先的航运公司在遭受勒索软件攻击后采用的解决方案。该公司的订舱系统在数周内无法运行，导致收入损失，重新配置 IT 网络需要更换 4000 台服务器、45000 台个人电脑和 2500 个应用程序。总成本约为 3 亿美元。

 

无论数据存储在何处，客户都非常看重数据的安全性，他们很可能会认为无法保护数据的公司不值得与之合作，从而转而选择竞争对手。

 

作为一家大型公司，集装箱运输公司非常依赖其 IT 网络来控制数千万个集装箱的预订和近千艘船只的运营。对于规模较小的公司来说，这种影响可能不会成为头条新闻，但即使缩小规模也可能迫使公司倒闭。

 

每个人都可能成为目标

如今，每个商业组织都可能成为受攻击的目标，甚至连健康学校和卫生服务也遭到攻击。后者可能是因为持有大量个人数据，已成为目前最受影响的行业之一。

 

2022 年 8 月，英国国家医疗服务体系（UK's NationalHealth Service, NHS）的 111 紧急电话号码遭到勒索软件攻击。111 服务是主要 999 急救服务的备用服务，适用于在非工作时间需要紧急医疗援助的患者。这次袭击意味着患者被剥夺了受帮助的机会，而其他人则在不需要的时候被送到了医院。这已不是 NHS 遭受到的第一次袭击。2017 年，NHS 遭受了犯罪团伙的勒索软件攻击，据报道损失了超过 2000 万英镑。

 

总损失

大多数攻击源于网络，通常是通过使用钓鱼邮件、连接到网络的笔记本电脑或移动设备受损或被盗等。甚至 U 盘也可能是攻击源。在最近的一项研究中，约有一半（49%）的机构表示曾遭受过网络攻击，43% 受到过网络钓鱼，35% 受到一般恶意软件的影响，26% 受到 SQL 注入的影响。这是一种侵入数据库造成错误甚至将整个数据库下载到黑客电脑上的攻击。五分之一的组织遭遇了拒绝服务。

 

勒索软件已成为严重的国家安全威胁和公众健康与安全问题。它对经济和普通人获取关键服务的能力造成了巨大影响。据估计，仅在 2020 年，勒索软件的全球损失（包括业务中断和赎金支付）就在 420 亿到 1700 亿美元之间。不过，由于许多受害者宁愿对其业务受到的影响保持沉默，因此确切的数字永远无从知晓。

 

明智的选择

由于事关重大，各组织开始采取行动降低风险也就不足为奇了。但对有些组织来说，却不知从何入手。可以说，了解实际风险情况、部署防止安全漏洞的手段和处理任何事故的流程的最明智方式，就是开发一个符合国际最佳实践的信息安全管理体系，如 ISO/IEC 27001（最受认可的信息安全管理体系标准）。

 

它为制定和实施流程和安全控制、确保管理承诺和员工培训等提供了一个结构化框架。

 

许多组织已经有了质量、环境或职业健康与安全管理体系。ISO/IEC 27001 的概念和方法与其他 ISO 标准是相同的，新版 ISO/IEC 27001 与 ISO 的高阶结构（HLS）保持一致，使各标准之间相互整合更加容易。

 

通过独立第三方对 ISO/IEC 27001 的认证，可以向内部和利益相关方保证您拥有健全的体系来管理信息、数据和网络安全风险。