调查表明,英国监管机构最新发布的运营弹性规则和指南于2022年3月31日生效后,英国金融服务业正在发生巨大变化。这些规则和指南规定企业必须采取的行动,对灾难进行预防、适应、应对、恢复,以及从各种形式的运营中断中吸取教训,并要求企业能够在2025年3月之前在其“影响限度”内运营。
至关重要的是,正如英格兰银行(BoE)和英国金融行为监管局(FCA)所指出的那样,运营弹性现在已经从简单的业务连续性和灾难恢复扩展到网络安全领域。
增强网络弹性的三个支柱和步骤
网络攻击是对业务运营造成的最严重破坏之一,而出人意料的网络攻击给那些准备不足的受害者带来毁灭性的后果。根据调查,仅在2020年,全球金融行业遭受的网络攻击数量就飙升了200%,而且此后攻击数量一直在增加。
保持对这些风险的足够弹性是采用有效网络安全战略的三大支柱,只有将这三者结合起来,企业才能保持健全的结构。
(1)人员是资产,而不是薄弱环节
当人们从网络安全的角度考虑潜在的薄弱环节时,这些薄弱环节往往是企业的内部人员,而他们通常缺乏关于如何避免陷阱或报告可疑事件的知识。例如,根据英国政府的2022年网络安全漏洞调查,在2022年遭到网络攻击的企业中,有83%的企业表示网络钓鱼尝试是最常见的威胁媒介。
众所周知,网络钓鱼攻击利用了“人为因素”——人们通常会信任熟悉事物和应对压力的自然本能。因此,拥有能够识别网络钓鱼企图的员工是金融服务组织如今可以拥有的最大资产之一。确保这一点的最佳方法是为他们提供安全培训,并在模拟网络钓鱼攻击练习中测试他们掌握的知识,并定期进行测试,以便始终保持高度警惕。这样,如果员工成为网络钓鱼电子邮件的目标,他们将知道如何识别,并采取必要措施消除威胁。
由于网络钓鱼对于恶意行为者来说仍然是一种方便且有利可图的行为,因此企业别无选择,只能用知识和信心武装员工来应对挑战。
(2)适当的流程可以防止攻击
其次,必须制定流程以确保决策者准确地知道在面临威胁时该做什么。然而,这样的过程很难单独定义。幸运的是,英国国家网络安全中心(NCSC)提供了包括Cyber Essentials和Cyber Essentials Plus在内的认证,重点关注网络弹性的主要领域。这其中包括管理防火墙、安全配置、访问控制和恶意软件防护。如果成功实施这些流程,英国国家网络安全中心(NCSC)估计可以防止多达80%的网络攻击。
此外,诸如ISO27001之类的认证可以帮助覆盖Cyber Essentials所没有的范围。例如,Cyber Essentials往往侧重于设备、网络和企业IT基础设施的其他部分上持有的数据和程序,ISO27001认证关注的是企业持有的所有数据,无论是纸质数据还是数字形式。
除了预防之外,还必须制定流程来处理数据泄露或网络攻击的后果。在这些情况下,仅依靠认证并不能避免运营中断和潜在的GDPR处罚。必须采取适当的操作措施,以便合适的人可以决定适当的行动方案,其措施从通知英国信息专员办公室(ICO到提醒客户和合作伙伴,具体做法因情况而异。
(3)采用正确的技术和工具
最后,正确的工具将在确保网络和运营弹性方面发挥关键作用。研究机构Gartner公司预测,到2023年,全球信息安全支出将增长11.1%,达到1870亿美元,其中大部分将用于采用正确的技术。所有这些投资都假设企业拥有大量熟练和敬业的员工来操作此类技术。然而,情况并非总是如此,尤其是在硬件和可用员工短缺的情况下。
许多企业根本没有资源来购买新技术或为他们的安全运营中心(SOC)聘请新员工。事实上,只有44%的企业拥有监控或记录违规事件的工具。因此,四分之一的企业正在转向寻求外部网络安全提供商的帮助来满足他们的需求。
不是是否而是何时发生网络攻击
事实证明,网络攻击事件并不是能否发生,而是何时发生,因此对此视而不见并不是一种很好的选择。与其相反,企业必须实施全面的技术控制、加强员工网络安全意识以及采用适当的操作程序。通过让网络弹性的所有三个支柱协同工作,企业能够确保他们的运营弹性。