1、 技术 供应链 物联网 商业运营 员工 并购 监管 董事会 8 网络风险 i 2019 年网络安全 风险报告 当前现状和前景展望 发布日期:2019����� 年 4 月 2019 年网络风险报告 简介 . 1 前言 .2-3 CEO 致辞 . 3 网络风险 .4-19 1. 技术 . 4-5 2. 供应链 . 6-7 3. 物联网 . 8-9 4. 商业运营 . 10-11 5. 员工 . 12-13 6. 并购 . 14-15 7. 监管 . 16-17 8. 董事会 . 18-19 前景展望 . 21 联络方式 . 22 参考文献 . 23 8 怡安的网络解决方案探索了无论公 司和组织在数字化旅程
2、中处于何种 位置都可能会在 2019 年面临的八 个特定风险。 目录 1 简 介 2019 年网络安全风险报告: 当前现状和前景展望 技术专家、安全专员和风险管理人员每年都 会对我们当前或即将在发展过程中经历的 “前所未有” 的变化进行广泛讨论。 事实上, 变化以及新威胁的扩散已经成为了我们可以 预见的永恒主题。全球经济的数字化转型继 续日益加快地改变我们开展业务、工作和生 活的方式。 随着我们使用技术来 加 快 信 息 传 递, 不 仅会创造出巨大的机 遇,也可能会引发更 大的风险。 而这种数字化转变带来的二阶效应�������鲜少为人 所知:随着一个又一个的行业采用数字技术 和数据来改变其业务性质以及与
3、客户的交 互,他们的企业网络风险状况也发生了翻天 覆地的变化。 在本报告中,怡安的网络解决方案探索了无 论公司在数字化旅程中处于何种位置都可能 会在 2019 年面临的八个特定风险。我们认 为,网络风险管理的发展趋势,必须是主动 的对共同面临的威胁提前采取行动,并且在 企业和行业内(包括跨企业和跨行业)进行 协作。IT������� 人员必须不断搜寻不守规矩的人, 提高防范标准,才能在不可避免地遭受到攻 击时做好准备。 2019 年,公司面临的最大 挑战将是如何紧跟并及时 了解不断变化的网络风险 格局。能够对公司产生影 响的威胁也会因行业、规 模和地区的不同而呈现出 巨大差异。公司有责任了 解他们所面临的风
4、险并积 极主动地加以解决。 2019 2019 年网络风险报告2 致 辞 THE CEO 为了更好地 应对攻击,公司应 不断评估其整体的 网络风险状况, 落实修复建议并 主动进行防御 管理。 J Hogg | Aon 网络解决方案 CEO 3 言 我们每年都会检查威胁企业的关键网������络安全挑战,我们的分析每年都会强 调攻击规模正在逐步扩大,影响也逐渐加剧。随着数字化转型的发展,公 ��������司正在加快向云端迁移数据、制定新的数字化系统以及增加端点数量。生 物医药、制造、能源和农业等行业的企业正在将有形资产与数字资产融合 在一起。这些进步导致受攻击面呈指数级增长,以及公司需要应对一系列 全新的风险。 与此同时
5、,网络攻击者正变得越来越复杂。有组织犯罪现在利用前情报成 员进行更复杂的攻击,背后的操控者正在扩大攻击范围以及增加攻击频 率。全球各国政府推出的相关监管法规也在不断变化,这也加剧了管理网 络风险的难度。 那么企业应如何应对如此复杂多变的风险?保护公司需要制定安全规则, 并且需要最高管理层予的重视以促成全公司的协调合作。网络安全往往都 是在网络事件发生后才会成为优先事项,但公司应不断评估其整体的网络 风险状况,落实修复建议并主动进行防御管理。 本报告运用了我们与全球多个公司的董事会、最高管理层以及安全和����风险 专业人士合作的经验,旨在探讨我们本年度最大的网络安全威胁。最重要 的是,我们就企业如何了
6、解、解决这些挑战并最终进行修复进行了说明。 J Hogg,Aon 网络解决方案 C�����EO 风险 2019 年网络安全风险报告4 1 拥抱数字化转型 会带来意料之外 的新风险 过去,制作报纸和杂志的方式是制作 纸质版文件,然后将其运往世界各 地。今天,虽然当中一些企业仍然如 旧,但大多数信息传播方式已经改变 为分散成数以千计的“信息即服务” 业务 - 即网页广告位或出售在线数据 库的订阅。 又或者想一想汽车制造商。他们仍然 主要通过制造汽车来创造价值,但这 些车辆正朝着完全自动化驾驶的未 来发展,包括已经配备移动网络、 WiFi、蓝牙和红外(遥控钥匙)网络, 并且还将搭载更多其他功能。 这意味着,
7、网络攻击面正在不断扩展 和变形。同时,汽车制造商以拼车服 务的形式提供新兴的“移动即服务” 产品,这是许多专家预测的行业未 来。1这种“一切即服务”(XaaS) 的 机遇正在(即便不是全部也是大多数 的)行业中掀起热潮,因为每个行业 都采用数字技术和数据,并开始意识 到他们创建的信息资产对客户群体也 具有价值。 随着传统的“实体”公司迅����速发展成 为数字经济“一切即服务”(XaaS) 提 供商,他们也将面临潜在的尚未被认 识到的全新风险。在网络风险管理方 面,网页和在线数据库面临的风险与 印刷杂志完全不同;而就固有风险而 言,完全自主的多重网络汽车与 2000 年初期左右的汽车或基于该自动驾驶
8、汽车的拼车服务也完全不同。随着持 续的数字化转型促使公司组织采用新 的经营方式,并且必须慎重考虑这些 新的数字化风险。 技术 8 网络风险 5 技术 供应链 物联网 商业运营 员工 并购 监管 董事会 1 1 1 1 0 0 0 0 0 1 0 1 0 0 0 1 1 1 0 1 0 1 0 0 0 0 1 1 0 0 0 0 1 0 0 1 0 0 0 1 0 0 0 1 0 0 0 0 0 SaaS 1 0 0 1 0 随着传统的“实体”公司迅速发展成 为数字经济“一切即服务”(XaaS) 提供商,他们也将面临潜在的尚未 被认识到的全新风险。 风险 2019 年网�������络安全风险报告6 2 唤醒
9、供应链安全 的呼声日益强烈 尽管公司建立了�������日益复杂的全球供应 链网络,但是供应链的安全性问题经常 不能被作为主要的考量因素。在最高 管理层和董事会层面,供应链安全仍 然常常难以引起关注。但唤醒的呼声 预计会越来越强烈,因为两种盛行的 供应链趋势大幅提升了网络风险。包 括网络攻击方可能通过物联网及云服 务扩张掌握到大量的企业运营数据,。 第二是公司越来越依赖第三方甚至第 四方供应商和服务提供商,这为攻击 者打开了攻击其供应链的新后门。 随着企业的数据中心逐渐迁移至云服 务,尤其是再加上物联网等技术,有 用的供应链管理数据更容易被运用起 来。但这也在改变了网络风险,新的 安全问题源于员�����工的“直通云
10、”访�����问 以及将多个公司的数据聚合到共享平 台中。尽管人们认为,云服务提供商 在保护数据方面比大多数公司做的都 要好,但 IDG Research 的报告仍�����然表 明,有 25的公司没有设置云优先策 略,主要是出于安全考虑。2 对于很多 公司而言,障碍在于如何根据其自身 配置的需要设计安全方案。 对第三方、第四方甚至第 n 方供应商 进行网络尽职调查和监督也是一项挑 战,例如公司聘用的会计师事务所使 用的是第三方数据托管公司,而这第 三方数据托管公司又依赖于与第四方 系统集成商的合作。在波耐蒙研究所 (Ponemon Institute) 于 2018 年 进 行 的一项调查中,英国和美国有 59
11、 的公司表示他们通过第三方遭受了数 据泄露,但其中只有 35的公司认 为他们的第三方风险管理计划非常有 效。3 这样的问题继续在恶化,因为 即使是供应商有错,网络安全法规也 日益向被动遭受破坏的公司追责。例 如联邦能源管理委员 (Federal Energy Regulatory C�������ommission) 于 2018 年 10 月发布了供应链网络安全标准, 要求能源公司降低第三方风险。到 了 2019 年 3 月,任何在纽约开展运 营的银行都必须遵守纽约州金融服 务 局 (New York State Department of Fin�����ancial Services) 制定的严格的第三 方风险
12、管理规定。 由于创新加速和网络威胁倍增的综合 影响,需要董事会层面对供应链进行 前瞻性的风险管理来帮助维持可靠有 效业务运行。 供应链 ����8 网络风险 7 技术 供应链 物联网 商业运营 员工 并购 监管 董事会 1 1 0 0 0 0 1 0 0 0 0 1 0 0 0 1 0 0 0 1 0 0 0 0 00 1 1 1 1 0 0 1 0 1 0 1 0 1 0 1 0 0 1 1 0 0 1 0 1 0 0 0 0 0 1 01 0 0 1 0 1 0 1 0 1 0 1 0 �����1 0 0 1 1 0 1 0 0 0 1 0 0 1 0 11 0 0 1 0 1 0 1 0 0 0 0 1
13、 0 1 0 1 0 1 0 1 0 1 1 0 0 1 0 1 0 0 0 1 0 1 0 0 0 59%35% 只有 尽管英国和美国有 的公司表示他们由于第三方 遭受了数据泄露。 的公司认为其第三方风 险管理计划非常有效。 风险 2019 年网络安全风险报告8 3 物联网无处不在 并且引发的风险 超出了公司的认知 即便许多企业可能都没有意识到,但 工作场所中到处都是物联网设备并且 每个设备都存在潜在的安全风险。联 网的物�����联网设备,如会议系统、安全 摄像头、打印机和楼宇自动化传感器 和控件,很轻易就可以在数量上超过 公司托管的 IT 资产。根据 Ponemon 研 究所 2018 年进行的调
14、查,52拥有 物联网库存的公司组织表示他们至少 拥有 1,000 台物联网设备,而调查显 示出的实际均值则要高得多,超过了 15,000 台。4 但是大多数公司都没有安全地管理甚 至盘点他们所有的物联网设备。部分 原因是许多企业的物联网设备由第三 方提供和远程管理,这就导致了风险 的增加。安全管理不足的物联网设备 已经遭到了攻击。在 Ponemon 研究所������� 的调查中,去年有 21的公司因不安 全的物联网设备而遭遇攻击或破坏, 其中 18的公司表示这些攻击是由第 三方设备引起的。随着物联网设备越 来越多地用于工业系统,物联网感染 可能扰乱制造流程以及其�����他关键业务 运营的风险也增加了。 随着当前全
15、球蜂窝物联网的推出以及 即将来临的向更快的 5G 网的过渡, 在未来几年内,物联网终端的数量将 急剧增加。但是,这些网络也将提供 新的攻击媒介。更快的网络与易受攻 击的物联网设备相结合可能会为更具 破坏性的威胁打开大门,例如僵尸网 络。它在分布式拒绝服务 (DDoS) 攻 击中可以利用大量易遭破坏的物联网 设备来�����制服目标。此外新的僵尸网络 恶意软件以及 Mirai 软件的变种都在不 断涌现,后者在 2016 年感染了数十万 个不安全设备并阻断了对某些互联网 服务的访问。5 因此,对公司组织而 言,监控和盘点其物联网终端并评估 与这些设备相关的风险非常重要。 物网 8 网络风险 9 技术 供应链
16、 物网 商业运营 员工 并购 监管 董事会 0 1 0 0 0 1 0 0 1 0 1 1 1 1 0 0 0 0 0 1 1 1 0 0 1 0 0 1 0 1 0 0 0 1 0 1 0 0 1 0 0 1 1 0 0 1 0 0 1 1 1 0 0 0 0 1 1 1 0 1 0 0 0 1 1 1 1 0 0 1 1 0 1 1 1 0 0 1 0 0 1 52% 维持����物联网库存的公司表示 他们至少拥有 1,000 台 物联网设备 而调查显示出的实际均值则要 高得多, 超过了 15,000 台 风险 2019 年网络安全风险报告10 4 技术能提高运营 效能,也能带来 扰乱公司安全的
17、缺陷 许多公司越来越依赖技术来管理日常 业务。这种依赖会带来运营中断的重 大风险。恶意软件感染能关闭生产系 统甚至电网;通过对公司数据加密, 勒索软件能让业务陷入停滞。 一直以来,工业控制系统和公共电力 设施均作为独立网络运行,但它们与 互联网的连接度越来越高,也已融入 传统的 IT 环境。尽管运行效率得到提 高,这类互通也带来新的安全风险, 因为,攻击范围因此变大,攻击者更 容易在整个网络中潜�����伏游弋。更不妙 的是,工业控制系统中的老式设备在 设计之初就未考虑网络安全要素,例 如使某大型石化工厂停运的 Trisis 恶 意软件就展示了这种危险,该恶意软 件被设计用于攻击工业环境(如核电 厂、石
18、油和天然气设施)内工业设�������备 使用的安全系统逻辑控制器,这 不仅带来������潜在重大有形损失,甚至可 能导致生命陨落。6 不断增加的互联互通也支撑了智能城 市这一趋势,各省市区域通常与私营 企业携手使用技术提供各类服务,共 同承担提供安全服务的责任。互联互 通的网络环境使网络威胁可通过市政 建设的发展而增加;例如被“入侵” 的智能街灯可能被用于控制公共设施 或包含公民个人信息的各类系统。7 同时,破坏性的恶意软件和勒索软件 继续带来运营中断这一痛苦问题。 NotPetya 这一恶意软件导致多行业的 数家公司遭受数十亿美金损失,遍及 业务营 8 网络风险 11 技术 供应链 物联网 业营 员工 并购 监管
19、 董事会 0 0 0 1 1 0 1 0 0 0 1 1 0 1 0 0 0 0 0 0 1 0 1 0 0 0 1 1 0 1 0 0 0 0 0 1 1 01 0 0 0 0 0 1 0 1 0 0 00 0 1 0 0 WannaCry 对 230,000台 电脑公司发动了攻击, 引发全球混乱。 跨国运输、医药以及建筑与制造业公 司。对关键数据进行不可逆加密引发 运营中断。8通过先加密数据,后勒 索若干比特币后才返还数据权限的做 法,WannaCry 勒 索 软 件 对 230,0�����00 台电脑发动攻击,引发全球混乱。9 在这类攻�����击中,运营捷径和无效备份 流程则可能加重影响。举例而言,若
20、备份没有存在离线媒介而是联网驱动 器中,勒索软件可能会发现并将备份 数据和运营数据一起加密,从而导致 几乎无法恢复数据。10网络事件的破 坏效应会威胁业务连续性,公������司务必 需要理解这一潜在影响。 风险 2019 年网络安全风险报告12 5 过度授权及“影 子 IT”会增加了 来自员工的风险 无论是恶意为之或是疏忽过错,安全 漏洞问题的常因之一就是员工。2018 年的一项网络安全专业人士调查显 示,53% 的参与者表示,他们所在的 公司曾在过去一年经历过与内部人员 相关的网络攻击。参与者对最担心哪 些意外错误这一������项上给出不同看法, 51% 的人最担心点击钓鱼链接,47% 的人最担心恶意员工行为
21、1��1。 由于公司希望用技术提升效率,经常 会让使用者得到了过多权限,从而提 升风险。举例而言,负责管理更多系 统的系统管理员需要更多“特权”, 若这些“特权”被不当使用或滥用, 潜在损害会更大。技术也能让员工通 过记录视频会议或截屏而获得更多敏 感信息,进一步提高潜在风险。 同时,云计算强化了“影子 IT”问 题指各部门或业务单元独立采用 了新的技术但没有知会 IT 管理部门。 发生这个问题的原因是各部门直接为 云应用和云服务建立账户要比向 IT 组 提交技术请求更方便快捷。但是这种 做法可能会造成 IT 人员并不清楚所有 正在使用中的技术服务,因此无法评 估安全性或强制使用级别强的登陆验 证
22、,从而使公司暴露在未知的新风险 中。12������� 面对数字经济转型,与隐私保护有关 立法行为正不断增加,个人及企业因 数据侵害而面对的后果不断加重。建 立全面式方法(包括强大的数据治 理、通过公司沟通网络安全政策及实 施有效的权限和数据保护控制)来管 理内部人风险变得更加重要。 员工 8 网络风险 13 技术 供应链 物联网 商业运营 员工 并购 监管 董事会 0 0 1 0 1 0 0 1 0 1 0 1 0 0 0 0 1 0 1 0 0 0 1 1 1 0 0 0 0 0 0 1 1 0 1 0 1 0 1 0 0 0 0 1 0 1 0 0 1 0 1 0 1 0 0 0 0 1 0 1 0
23、0 1 0 1 0 1 0 0 0 0 1 0 1 0 0 1 0 1 0 1 0 0 2018 年的一项网络安全专业人士调查显示, 53% 的参与者表示他们所在的公司曾在过去一年 经历过与内部人员相关的网络攻击。参与者对最 担心哪些意外错误这一项上给出不同看法,51% 的参与者最担心点击钓鱼链接,47% 的人最担心 恶意员工行为。 风险 2019������ 年网络安全风险报告14 6 并购活动价值的 增加,使得交易 目标的缺陷也在 大幅提升 随着 2018 步入尾声,全年全球并购 价值预计将达 4 万亿美元,13成为过 去 4 年很少达到的最高水平。即使这 些价值全部进入风险考量,很多公司 并未意识到
24、每项新并购协议都伴随极 难评估的、潜在的、新式安全漏洞。 与并购有关的网络安全风险不是纸上 谈兵。2017 年,媒体行业的一家被收 购公�����司被迫将协议价格降低 3500 万 美金,起因是在协议宣布和协议结束 期间发生的网络攻击被泄露于众。医 疗保健行业有将近 8000 万患者的病 历信息落于外国政府之手,仅仅因为 一家大型保险公司收购目标的员工点 击了钓鱼软件而遭受持续攻击。14 收购方的难题是,尽管自身会严格管 控网络安全企业风险(比如孜孜不倦 查漏补缺安全漏洞),他们无法保证 被收购方也会有同样做法。通过收购 一家公司,收购方同时获得被收购方 的所有缺陷。大部分并购谈判中紧张 的时间表也挑战
25、着收购方对被收购方 网络安全情况的了解程度。公司如何 确认必要的网络安全控制措������施已经到 位?风险点负责方是谁,潜在修复成 本又是多少? 随着交易量不断增加,相关的网络安 全风险数量可能会增加的更快。因 为,网络安全取证专家发现一个�����趋势 是,在协议宣布和协议结束期内,很 多心怀不轨者会将目光瞄准正在处于 被大型公司收购过程中的被收购方。 协议参与方必须想出计划,应对这一 不断上升的挑战。15 兼并与收购 8 网络风险 15 技术 供应链 物联网 商业运营 员工 并购 监管 董事会 $ $ 4 万亿美金 随着 2018 步入尾声,全年全 球并购价值预计将达 4 万亿美 元,成为过去 4 年很少达到
26、的 最高水平。 风险 2019 年网络安全风险报告16 7 对网络安全政策 与执法者之间交 集的管理 网络安全监管条例已随处可见。提 议、原则��������、法律、规则、标准和指南 充斥于全球论坛、联邦机构、州立法 以及商业世界中。监管条文也大量衍 进,从大致规定到行业具体要求再到 政府购买需求,从公私合作到会计协 会再到技术行业联盟。2018 年,美 国证券交易委员会(“U.S. Securities and Exchange Commissio������n”) 要 求 上市公司在财务报告中披露网络安全 情况。与网络监管的执法行为也不断 发生,包括美国证券交易委员会开出 第了一张罚单。2019 年合规风险的强 化也
27、将成为必然。 不断增加但互相重叠的网络监管规则 会导致更多(�������而不是更少)的网络风 险,因为首席信息安全官会面对应接 不暇的合规要求,照章办事的理念会 取代对最佳网络安全做法的思考。不 仅如此,了解在什么司法辖区满足什 么监管要求也变得日益复杂。 2018 年具有明显的时代特征,因为 加利福尼亚州通过了消费者隐私法案 以及物联网隐私法律。若将过去比作 序幕,企业现在必须对在美国出现新 一轮类似州立法做好准备,正如 2002 通过加州数据漏洞通知法(C�����alifornia Data Breach Notification Law)。 一 些人正施压要求将类似立法提升到美 国联邦层面。 网 络 安 全
28、 监 管 环 境 讨 论 一 定 要 包 括 欧 盟 的 一 般 数 据 保 护 监 管 条 例(“General Data Protection Regulation”)。该条例对不合规行 为的罚金最高可达 2000 万欧元(一 家公司年营业额的 4%),甚至更高。 自 2018 年 5 月实施以来直至目前, 已有数起有关该�������条例的执法行动。目 前已发生的罚金及民事诉讼被认为只 是冰山一角。围绕 2018 年若干大型 漏洞事件的媒体报道做出推断,如果 监管者发现与上述条例违背的行为, 每家涉事公司可能会面对 5 亿至 10 亿美金以上不等罚金。 这个时代的公司发现自己陷入硬石 (网络危险)和硬
29、地(网络监管及�����强 制执行)的两难处境之间,需要对两 边同时保持极大警惕才能管理风险。16 监 8 网络风险 17 技术 供应链 物联网 商业运营 员工 并购 监 董事会 ! CCPA 0 1 1 0 1 0 0 1 1 0 0 0 0 1 1 0 1 1 0 0 GDPR SEC 10010110 10010110 0 1 1 1 0 1 0 0 5 亿至 10 亿美金以上 围绕 2018 年若干大型漏洞事件的媒体报道做出 推断,如果监管者发现与上述条例违背的行为, 每家涉事公司可能会面对 5 亿至 10 亿美金以上 不等罚金。 风险 2019 年网
30、络安全风险报告18 8 董事与高管们在 网络安全监督方 面的个人责任越 来越大 管理网络风险已经成为董事和高官们 的最大监督挑战之一, 个人风险也越来 越大。 在一些高度曝光的数据漏洞事������件 中, 股东已经开始向董事索取赔偿。 17 截至本报告发出之时,大多数针对董 事及高官们的诉讼以失败告终,但这 种情况不会一直持续。原告律师有望 从失败赔偿案中加以学习,重新调整����� 辩词,继续对董事和高官们及治理下 的公司提起网络安全诉讼。2018年末, 一家在线服务公司宣布对 3 起网络诉 讼(包括股东派生诉讼)支付 4,700 万 美金的和解金,由此看来风险巨大。18 集体诉讼数量可能上升,这种可能在 数据
31、事件引发断崖式股价下跌时会更 大。欧洲集体诉讼案件的普遍上升����也 催生一般数据保护监管条例带来的法 律挑战。截至本报告发出之时,早于 一般数据保护监管条例发生的一项数 据隐私诉讼已经进入英国高等法院, 这是员工针对英国一家超市连锁商发 起的集体投诉。19 董事与高管们也面临监管责任。2018 年, 纽 约 州 财 务 服 务 部(“New York State Department of Financial Services”)新颁布了大量网络安全 规则,要求董事与高管们每年做一次 合规认证。美国证券交易委员会也做 出积极规定,要求财报披露网络安全 情况,并也要求在对组合的其它领域 执行时,单独
32、列示相关的董事和资深 高管们。在最为恶劣的情况下,美国 证券交易委员������会对上市公司的董事和 高管们开出罚单及终身禁令。 事会 好消息是,近 75% 的董 事会成员表示,对网络 安全工作的参与程�����度要 高于一年前。 3/4 8 网络风险 19 技术 供应链 物联网 商业运营 员工 并购 监管 事会 $ $ $ $ $ ! 0 0 1 0 1 0 0 1 1 0 1 0 0 0 0 0 1 0 1 0 0 1 1 0 1 1 0 0 01 0 1 1 0 0 0 0 好 消 息 是, 根 据 2018 年 公 司 治 理 和 财 务 报 告 的 BDO 中 心(“BDO Center for Corp
33、orate Governance and Financial Reporting) 的 一 项 调 研,近 75% 的董事会成员表示,对 网络安全工作的参与程度要高于一年 前。20 然而,改善空间仍旧存在: 尽管在网络事件发生后,许多董事会 做�����出涉及巨大金额的网络安全费用决 定,网络安全仍旧是资本费用这一情 况仍相当普遍,一旦危机过去,运行 预算支持仍旧不足。 网络安全监督让个人及企业风险不断 增�������加,也让董事与高管们面对越来越 大的风险,董事与高管们必须继续扩 大他们的关注点,在顶层确定强势基 调,以便推动公司的网络政策与程 序。 2019 年网络风险报告20 2019 这是一个与时间 一般古
34、老的故事 的现代化数字版 本, 即: 机遇越大, 风险越高。 21 展 2019 年展望: 机遇越大,风险越高 本报告讨论的八项风险点表明,随着数字化转型激增,全球企业 面对的“攻击面”会扩大,有时会以意想不到的方式出现。这是 一个与时间一般古老的故事的现代化数字版本,即:机遇越大, 风险越高。要想消解风险,上至董事会,下至供应链,以及从 IT 基础设施到业务运行的各个方面,公司必须对快速变化的企业网 络风险情况保持持续警惕的态度。这也表示,公司必须充分了解 信息,理解风险情况,并积极采取防范措施:共享风险智能,帮 助保持整个商业社区安全,追踪找出不良方,避免遭�����受损失,最 重要的也许应是对网络
35、攻击做好准备。 8 本报告讨论������的八项风险点表明, 随着数字转型激增,全球企业面 对的“攻击面”会扩大,有时会 以意想不到的方式出现。 人 联人 China Jia Da��������i Deputy General Manager https:/www .ponemon .org/blog/ponemon- institute-announces-the-release-of-the-2018-megatrends-study 4. Second Annual Study on The Internet of Things (IoT): A New Era of Third-Party Risk, Pone
���������36、mon Institute https:/ponemon .org/library/the-internet-of-things-iot-a-new-era-of-third-party-risk 5. https:/www .zdnet .com/article/meet-torii-a-new-iot-botnet-far-more-sophisticated-than-mirai/ 6. https:/www .cyberscoop .com���������/xenotime-ics-cyber-attacks-trisis-dragos/ 7. https:/www .forbes .com/site
37、s/gilpress/2018/02/14/6-ways-to-make-smart-cities-future-proof-cybersecurity- cities/�������#787c51314240 8. https:/www .wired .com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/ 9. https:/www .zdnet .com/article/wannacry-ransomware-crisis-one-year-on-are-we-ready-for-the-next-global- cy
38、ber-attack/ 10. https:/www .csoonline .com/article/3075385/backup-recove������ry/will-your-backups-protect-you-against- ransomware .html 11. http:/crowdresearchpartners .com/wp-content/uploads/2017/07/Insider-Threat-Report-2018 .pdf 12. https:/www .cio .com/article/3139396/security/the-evolv���ing-insider-th
39、reat .html 13. https:/imaa-institute .�����org/mergers-and-acquisitions-statistics/ 14. https:/www .bitsighttech .com/blog/security-breaches-healthcare 15. https:/imaa-institute .org/mergers-and-acquisitions-statistics/ 16. https:/www .healthcarei�����tnews .com/news/hacking-and-mega-breaches-2018-worst-year-
40、yet 17. https:/www .usatoday .com/story/money/2018/12/28/data-breaches-2018-billions-hit-growing-number- cyberattacks/2413411002/ 18. http:/fortune .com/2018/10/24/yahoo-settlement-data-breach/ 19. https:/www .theregister .co .uk/2018/10/23/����morrisons_loses_court_appeal_data_t�����heft/ 20. https:/www .rt
41、insights .com/fresh-data-bdo-sees-some-boards-preparing-for-cyber-risks-others-blind/ REFERENCES 风险 2019 年网络安全风险报告24 1 MATCH COVER NOT STARTED About Cyber Solutions Aons Cyber Solutions offers holistic cyber risk management, unsurpassed investigative skills and proprietary technologie����s to help clien
42、ts uncover and quantify cyber risks, protect critical assets and recover from cyber incidents . About Aon Aon plc (NYSE:AON) is a leading global professional services firm prov�������iding a broad range of risk, retirement and health solutions . Our 50,0������00 colleagues in 120 countries empower results for cl
43、ients by using proprietary data and analytics to deliver insights that reduce volatility and improve performance . Visit aon .com for more information . Aon plc 2019 . All rights reserved . Cyber securi�������ty services offered by Stroz Friedb������erg Inc . and its affiliates . The information contained herein
44、 and���� the statements expressed are of a general nature and are not intended to address the circumstances of any particular individual or entity . Although we endeavor to provide accurate and timely information and use sources we consider reliable, there can be no guarantee that such information is accurate as of the date it is received or that it will continue to be accurate in the future . No one should act on such information without appropriate professional advic
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产开发
传统产业
全球化
其它
扫码登录
手机快捷登录
账号登录
