在過去的20年裏,數字系統極大地改變了世界各地社會的行為和功能,公司員工轉向遠程或混合工作模式,促進了平台,系統和設備倍增。與此同時,網絡犯罪的威脅也比以往任何時候都更大,持續給世界各地企業造成數千萬甚至數億美元的損失。電子支付平台PayPal在2022年12月就被黑客發動憑證填充攻擊,存取了3.5萬用戶帳號資料。在同月份為開源程式托管平台GitHub提供服務的CircleCI,有員工手提電腦被入侵,繼而盜用超過50,000用戶加密密錀。
種種的數字危機,是誰造成的?究竟是罪犯神通廣大?還是公司數字設備及管理棋差一着?
在2023年不同報告都顯示網絡安全的需求及投資越來越大,在最新一份羅兵咸永道關於數字信任(Digital Trust)的報告裏,其中有提到80%管理者會加大25%-30%網絡安全投資,他們主力會在營運技術安全作重點投資,在開發新產品的安全和隱私方面也是重點的部份。按道理這些投資應該有效地預防網絡犯罪及資料損失,但為何還預計2023年還有可能達致上億美元損失?
根據CrowdStrike的全球網絡威脅報告2022,單計已知網絡威脅的種類已經超過170種,平均每年全球新增威脅達致20種。當然大家比較熟悉勒索軟件為主要新增的種類,而且勒索軟件導致的數據洩漏已經超出3,000宗個案。通常數據洩漏都是公司內部無意地導致,IBM就此做過統計,95%數據洩漏都是因為人為過失所造成,而且單計損失已經達400萬美元。結論是無論技術或設備如何提升,只要一次人為失誤,就可以導致損失,所以網絡安全的知識及管理在2023年都是所有公司的重中之重。
從前很多公司都會採用微軟的系統與組織控制措施2(SOC Type 2),但是這個標準側重於系統設置,而忽略了從頭至尾的管理概念。市場上較流行的ISO 27001 最新2022版本設置了總共93個控制於16個管控範圍內,這些管控範圍會從政策着手,到網絡設置及實際環境風險,到第三方供應商核查,到最後如何維持及提升的措施。這個標準框架有效地減低風險及提升員工的意識,其中有一個要求是每一個員工都要接受網絡安全的基本訓練,令到員工可以擁有最基本分辨網絡威脅的知識。這個標準的要求亦都是每年做審核時會着重的其中一個要點。
當國際標準都告訴我們需要有效的管理去減低人為錯誤,而我們還誤以為很多員工都擁有基本的網絡安全概念,但危機仍然每日發生。我希望大家可以盡早為你們的員工加強網絡安全知識培訓。