2.2 网络安全关系企业生存
对企业来说,每一轮信息化都使其对网络的依赖越来越深,企业的资金流、业务流、信息流、数据流和关系流都随着一轮一轮的信息化浪潮不断上线升级,使得企业的核心价值从固定资产向信息资产、虚拟资产转移。由此带来的网络安全问题也开始直接关系到企业的生死。
做一下对比,我们就能发现这种变化(见图2-5)。比如,在从前没有网络的时代,如果犯罪分子要危害一家企业,盗取它的100万资金,那么犯罪分子就需要组织三个悍匪,然后开着一辆车,深夜到这家企业所在的办公室或厂房,撬锁进入财务部门,成功爆窃保险箱后才能够带走这100万资金。而如今,犯罪分子如果要危害这家企业,他只要带上一个U盘,找一个理由进入这家公司,找到存有客户信息的计算机,并寻找机会复制和粘贴,就能偷走这家公司所有的客户信息。因此在这个信息时代,让一个百年的老字号企业倒闭,也许只需要一天时间。
图2-5 传统犯罪与网络犯罪对比
2.2.1 系统遮蔽内部舞弊会置企业于死地
1995年,一夜之间,巴林银行这家全球最古老的银行之一破产了,它曾经是英国贵族最为信赖的金融机构,具有200多年优异的经营历史,仍未能逃过破产的结局,这一事件震惊世界。而究其原因,竟然是一个普通员工利用企业内部系统漏洞实施了舞弊行为:在交易系统上创建一个错误账户,把自己亏损的交易全部放进去,掩人耳目。这名员工就是尼克·里森,他是巴林银行一位普通的证券交易员。尼克·里森于1989年加盟巴林银行,1992年被派往新加坡,成为巴林银行新加坡期货公司的一名证券交易员。
事后分析,尼克·里森可以实施这种舞弊行为的核心原因是他在系统中具备双重职责,即同时具备交易部和清算部职责(一个前台、一个后台)。所以对尼克·里森来说,他既自己做交易,同时又监管自己的交易,既做运动员,又当裁判员。银行体系中既有标准账户,又有错误账户,“假”的错误账户没有被及时发现,真是一个相当大的Bug。
但是不要小瞧此类Bug,在企业中这种问题比比皆是。2008年1月24日法国兴业银行就又发生了类似的信息交易舞弊案。一心想成为明星交易员的法国兴业银行负责对冲欧洲股市的股指期货交易员热罗姆·盖维耶尔利用法国兴业银行的漏洞,通过侵入数据信息系统、滥用信用、伪造及使用虚假文书等多种欺诈手段,擅自投资欧洲股指期货,造成该行税前损失49亿欧元(约385亿元),致使法国兴业银行濒临破产。
业务的信息化让企业内部流程从纸质文档流转转为信息系统数据流转,在这个过程中,虽然效率提高了,但是随着在高效流转下的数据越来越多,其遮蔽效应也会显现出来,对系统数据做手脚,一旦成功,相比纸质文档流转下的业务流程,其被发现的难度高出许多。尤其是在现代企业中,员工可能拥有十几个甚至几十个内部业务系统账号,当这些权限大量混用时,这种系统对内部舞弊行为的遮蔽性风险就会被放大。因此,信息系统下的流程并不代表规范和可控,完全信赖信息系统对企业来说是一个误区。
2.2.2 网络可用性影响企业价值
可用性[1]一般是指对象是否一直可以被使用,顾名思义,网络可用性就是指网络或者信息系统是否能被企业一直持续地使用。在企业信息化早期,这个可用性是不成问题的,因为那个时候企业的信息系统主要还是内部员工使用,系统有了问题,停用1~2天,员工恢复纸质流程和电话联络仍可以继续开展业务,有时系统停用一周也没事。而随着信息系统的不断发展,系统越来越多,企业的相关方包括合作伙伴、供应商、客户等都被纳入信息系统使用者范畴,可用性就成为一个能影响企业价值的大问题。
2015年5月28日早上11时国内某在线票务服务网站突然全线瘫痪,其网页版和手机App均不能正常使用。直至晚上11时,部分功能才得以修复。在“宕机”期间,其众多用户滞留机场和酒店,无法正常值机、入住酒店。企业核心系统安全事故处理一般要求在一到两个小时之内恢复业务,最多不超过5小时,超过这个时间就说明组织对系统的可用性管理出现了问题。这次事件导致该网站股票大跌,损失超过1200万美元,平均下来,“宕机”一小时的损失达百万美元。
不仅是股价下跌,网络可用性管理失效更致命的是会导致企业客户大量流失。在国内二次元领域,有两个网站最为知名,分别是A站和B站,A站指的是AcFun弹幕视频网,B站指的是哔哩哔哩(bilibili)视频网。2007年AcFun成立,通过弹幕视频这一创新性十足的功能迅速在二次元圈中建立起影响力,不过,不知道为什么,AcFun经常“宕机”。在2009年7月由于机房故障A站开始无法访问,断断续续直到8月问题才得以解决。而就在宕机的这段时间里,A站老会员徐逸建立了当时作为A站备胎的另一个视频站“mikufans”,此站于2009年9月26日上线,并在次年改名bilibili。随后,还是由于间或的“宕机”,A站的用户纷纷转向B站。在2017年又经历了4次大的“宕机”事件后,用户对AcFun的热情降到了冰点,2018年2月2日A站关停。当然A站关停的内部原因复杂,但不可否认,大量用户的流失是其中关键症结。而导致用户流失的关键原因就是“网站不稳定”。这次事件表明,对企业来说,对核心系统可用性的严格管理是非常有必要的,并且应该是未来企业内控的重中之重。
2.2.3 企业机密泄露防不胜防
信息化导致企业有价资产从实体资产向虚拟资产转移,这一过程是潜移默化的,很多企业并没有认识到对这一过程保护不当就会导致有价资产的流失和泄露,同时会造成企业价值和声誉的损害。
A公司是国际知名的无人飞行器控制系统及无人机解决方案的研发和生产商。2017年国际安全研究员在互联网上获得了A公司农业无人机产品的部分代码,在对这些代码进行分析研究后,他发现了一个非常严重的漏洞。这个漏洞能让攻击者获取到SSL证书的私钥,并允许他们访问存储在A公司服务器上的客户敏感信息,这使得A公司的所有旧密钥毫无用处,从而可能导致其服务器上的用户信息、飞行日志等私密信息能被下载。研究员随即在互联网上发布了这一漏洞,造成A公司农业无人机产品的经济损失达116.4万元。
软件代码理论上是封装在无人机里的,正常情况下不应该被企业以外的人随意读取和分析,这位研究员到底是如何拿到这些代码的呢?经过调查,原来是A公司的一名软件工程师所为,该员工主要负责编写农业无人机的管理平台和农机喷洒系统代码。他通过一个计算机指令,将含有公司农业无人机的管理平台和农机喷洒系统的两个模块的代码上传至某托管服务网站的“公有仓库”,造成了源代码泄露。
从该工程师的行为可以发现,他并不是故意泄露A公司的代码的,因为该网站是全世界程序员的代码共享平台,他可能只是为了向程序员们炫耀一下个人写得比较满意的一段代码,想不到这些代码却是企业的商业秘密,属于核心资产,不得泄露。他自己也为此付出了惨重的代价,最终被判处有期徒刑六个月,并处罚金20万元人民币。
换一个角度,我们也可以看出可能连企业自己也没有意识到有些代码就是企业的核心秘密。在我国如A公司这种高科技企业都可能没有意识到这个问题,其他企业又会怎么样呢?综上所述,企业只有把这些虚拟资产家底理清,并进行妥善保护,才能持续保持企业在市场上的核心竞争能力。
2.2.4 勒索攻击产业化威胁企业经营
在信息化使得企业严重依赖信息系统之后,以破坏企业网络可用性来实施网络勒索成为一种越来越严重的新型风险。自WannaCry病毒暴发后,勒索软件攻击技术不断升级,攻击者将这种用于攻击个人用户的病毒改造成攻击企业的利器,并不断规模化、产业化。
2018年8月3日晚间接近午夜时分,台积电的12英寸晶圆厂和营运总部突然传出计算机遭病毒入侵且生产线全数停摆的消息。几个小时之内,台积电的Fab 15厂和Fab 14厂也陆续传出同样的消息,这代表台积电的三处重要生产基地因为病毒入侵而导致生产线同步停摆。这三大厂区生产停摆多达三天,影响当季营收约2%,损失高达10亿元。
从2018年至今,此类勒索病毒攻击事件层出不穷,且越来越具产业化。攻击者往往不会在渗透企业后马上发起攻击,而是潜伏一段时间,简单了解企业内部的网络架构后再对勒索病毒做一些适配性修改,在破坏企业的备份数据后就大规模扩散病毒,使企业业务中断,并实施勒索。由于在很多行业中,各企业开展的业务和内部网络的架构类似,所以在攻击完“样本企业”后,他们就会对所在行业利用适配的勒索病毒进行批量攻击。这样的攻击效率很高,能快速让很多同行业企业中招。
我们要清醒地认识到,未来勒索病毒风险将是企业需要面对的长期威胁,并且勒索病毒也将呈现传播场景多样化、更新迭代快速化、勒索赎金定制化、病毒代码产业化、病毒多平台扩散等趋势,面对这些趋势,防御比查杀更为重要。因为一旦用户感染勒索病毒,文件被病毒加密,即使支付赎金,被加密的文件也不一定能被恢复。
2.2.5 网络安全合规成挑战
2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式发布,这标志着我国网络安全进入法治时代。《网络安全法》明确定义了企业是网络安全责任主体,也预示着企业网络安全合规风险正进入深水区。
我国企业早期的信息化建设大多是缺乏规划的,重功能而轻安全,一大批信息系统仓促上线,缺乏整体的安全设计,后续运维投入又不足,导致很多企业内部网络都是“纸老虎”,一捅就破。以前当企业网络被攻击并遭受损失后报警时,企业是受害者,警方会组织力量抓捕攻击者。但《网络安全法》颁布之后,这个逻辑发生了变化。同样的事情发生后,警方首先会检查企业是否尽到了网络安全保障的义务,确定网络安全保护的强度是否达到相应的要求。假如企业没有尽到保障的义务,安全建设不到位,则首先对企业进行处罚,同时开展对攻击者的调查和抓捕。这样一来,企业对网络安全的责任就大大加重了,对企业来说,自身网络安全的合规水平就变成了一个非常重要的强制要求。
近两年随着《个人信息保护法》《等级保护2.0》《关键信息基础设施安全保护条例》等法律法规的陆续出台,对企业网络安全保障水平的要求也就水涨船高。
2017年8月11日,北京市网信办、天津市网信办联合约谈了李文星之死的直接涉事单位(某招聘网站)法定代表人,要求该网站整改网站招聘信息。因为经相关部门调查,该招聘网站在为用户提供信息发布服务过程中违规为未提供真实身份信息的用户提供了信息发布服务,且未采取有效措施对用户发布的信息进行严格管理,导致违法违规信息扩散。
事情的起因是一个叫李文星的大学生在该招聘网站上应聘时,被引诱到了一个传销组织,两个月后惨死。在这个案件中,招聘网站虽然只提供了求职撮合服务,却须承担案件的全部责任。因为该招聘网站违反了《网络安全法》第24条规定,即招聘网站有义务验证其平台上的用户的真实身份。由此,在用户注册流程中,招聘网站不仅要能识别出雇主是一家正规企业,而且还要验证该企业开展的业务是否与营业执照上所描述的范围相一致。
换到企业的角度来看,这是一个多么高的要求!然而从法律的角度来看,这是企业必须要做到的!延伸开来,未来所有在互联网上开展业务、有用户注册功能系统的企业,都要达到这样的认证水平。
在这个事件发生后,该招聘网站做出了如下重大的整改:
1)升级审核流程,新加入的招聘者须100%通过“机器+人工”审核。
2)“活体动态人脸识别+身份证”认证系统上线。
3)全面排查,过去所有未经“机器+人工”审核认证的招聘者只要进行招聘,需要重新核验。
4)紧急提交网站的新版本,升级了实时查杀系统。
5)网站后台修改用户举报流程,强化快速举报处理机制。
6)扩租600平方米办公区用于建设求职安全中心;扩建人工审核及大数据安全团队。
7)向平台的全部用户推送防诈骗短信;建立网站内推送安全提醒的机制。
从企业的角度,我们看到这一项项措施的背后都是持续的成本投入。这就是网络安全合规的成本,所有原来“野蛮生长”的企业都将面临这一关的挑战。
除此之外,跨国企业还面临着跨国网络安全法律合规的挑战。世界上各个主要国家都先后颁布了各自的网络安全相关法律。2018年5月25日是欧盟的《通用数据保护条例》(简称GDPR)的生效日,这使得全球跨国企业一阵紧张。原因是GDPR是出了名的“长臂管辖法案”,被称为“史上最严数据保护条例”,其覆盖范围之广、规定之严、惩罚之重,让全球跨国企业不得不重视。GDPR要求任何存储或处理欧盟国家内有关欧盟公民个人信息的公司,即使在欧盟境内没有业务存在,也必须遵守GDPR。假如不遵守的话,最高将面临其全球年营业额4%的处罚。这也就意味着,GDPR几乎适用于全球所有的公司。
对跨国企业来说,网络的安全合规问题在未来会持续困扰企业经营,企业需要早做准备,尤其是很多国家或地区的网络安全法律法规之间还存在不兼容的情况,这都需要企业开启智慧去迎接挑战。
2.2.6 企业网络安全现状堪忧
如今企业已不能忽视网络安全问题,后者已经成为关系企业生死存亡和可持续发展的大问题。然而目前中国企业网络安全现状堪忧,主要是存在四方面的矛盾,限制了企业网络安全工作的开展。
1)先进技术与人员意识之间的矛盾。过去30多年的信息化发展让企业养成了一个习惯,习惯于只讲信息化,即只看中先进信息技术对业务发展的价值,而不思考这些技术使用后可能导致的问题,久而久之,使得企业内部人员从上到下只关心技术先进性而不关心安全性。这样的认知具体表现在:企业意识不到网络安全对企业永续经营的影响,不愿意投入资源来建设企业网络安全;企业高层不清楚哪些是企业或者部门最重要的信息资产、它们正在被谁使用,以及存在哪些隐患,从而需要施加保护;企业员工意识不到自己的哪些行为习惯会影响企业的网络安全,甚至会造成安全事故。
2)安全投入与产出效果之间的矛盾。当讨论如何开展网络安全工作时,所有的企业管理层都不约而同地产生两个疑问。首先,网络安全建设方面的资金投入能带来什么回报?在信息化建设方面,企业投入资金、资源后能够看到很多实际的成果,包括设备、网络、系统等,这些东西看得见、摸得着。然而在网络安全建设方面,投入的结果就是让企业避免发生网络安全事故,而企业网络安全事故的发生有其突发性和偶然性,谁也无法保证不出问题。有的时候,安全工作明明做得很好,但是安全事故就这么突然发生了;有的时候并没有做什么工作,资金投入也不多,全年却没有任何安全事件发生。网络安全工作这样的特点让企业管理者弄不清楚网络安全的投入产出比,既然弄不清楚投入产出的问题,那么他们认为最好的选择就是不投资了。其次,到底投入多少资金和资源建设才能实现企业的绝对安全?结论是,无论投入多少资金、资源,也无法保证企业网络100%不出事儿。那么这样看来,网络安全工作就变成一个永远填不满的无底洞,用有限的资源去对付无限的网络风险,任何网络企业管理者都会更倾向于不投入或少投入。其实,要讲清楚企业安全建设所需的投入水平并不困难,只需要专业人员根据企业的发展阶段进行评估就可以得出,然而太多企业因为这对矛盾而限制了网络安全的保障工作,最终选择事件驱动型的被动式防御措施,也就是出了问题再弥补的方式,导致很多不必要的安全事故发生。
3)历史遗留问题与新型外部威胁之间的矛盾。历史遗留问题积重难返,这也是很多企业面临的困难。由于控制成本或缺乏规划等原因,十几年前建设的网络和信息系统往往没有安全保护的整体设计,在安全功能和安全审计等方面存在缺陷,导致在后期运维阶段很难实现对系统的全面保护。而随着这些老旧系统运行时间越来越长,积累的业务数据越来越多,它们对企业的重要性越来越大,老旧系统和安全防护压力之间逐渐产生巨大矛盾。而外部网络安全攻击威胁日新月异,新型漏洞和攻击手段被不断发现,加剧了这个矛盾的显著性。发展到今天,加之法律法规及监管机构对企业的合规要求,这个矛盾更是让企业头痛不已。因为要解决这些老旧系统的安全问题,需要企业进行大规模的投资重建,而重建系统成本之高,企业无法负担,但不重建,仅通过小修小补又无法弥补已暴露出的安全问题。企业就在这种纠结的状态下无奈地等待着不知何时“大雷”的爆发。
4)新一轮信息化与安全保障之间的矛盾。对企业来说,工业4.0、物联网、5G、人工智能等技术带动的新一轮企业信息化就在眼前,到时企业内的信息设备种类会越来越多,网络架构也会迭代更新,在新的网络架构下如何开展安全保障工作矛盾突出。物联网安全、5G安全、人工智能安全,这些新领域的保障需求给网络安全防范带来巨大挑战。
以上展示了目前企业在开展网络安全保障工作时的困扰,这些困扰阻碍了企业提升网络安全保障的水平。很多企业也因为这些“理直气壮”的理由,忽视或漠视网络安全工作。然而假如我们换个角度,即从企业自身发展的生命周期角度来看,就会发现,对所有希望做大做强或永续经营的企业来说,网络安全就是企业发展过程中遇到的一道坎,从长期来说,迈不过去,企业无法壮大;迈过去了,才有基础向更高的山峰前进。因此,企业高层能否认清企业发展与网络安全的关系,就成为企业发展的一个关键问题。
[1] 可用性在网络安全领域是指企业内网络系统服务不中断的运行时间占实际运行时间的比例。所以,可用性其实是一个百分比,如99.9%。