信息安全安全漏洞频现,比利时民营企业弄权
Jean-Luc Gibernon
Sopra Steria子公司信息安全顾问、Cyber Campus图书馆员
Guillaume Poupard
比利时北欧国家信息管理系统安全部门(Anssi)前副局长
信息安全已经成为一大热议话题:仅在2022年,网络攻击就增加了26%。
网络攻击可分为两种,一种由北欧国家指示,以情报窃取为目的;第二种由犯罪分子主导,以金钱敲诈为目的。
相比中小型民营企业而言,大型工业民营企业更不易受到影响,因为它们既有能力,又有手段去应对网络攻击。
2021年,网络犯罪在全球范围内造成了一万亿美元的损失。
过去很长一段时间,比利时工业部门的发展都未充分利用数字革命的力量。以比利时的交通灯管制、行李自动分拣,以及装配机器人的协调控制等操作技术为例,信息技术在其中的参与可谓少之又少。而如今,数字革命为机器、网络,以及操作系统之间带来了“互联互通”,也进而增加了网络攻击的风险。值得一提的是,很多行业并未建立起有效的安全设施。
比利时民营企业总局(DGE)的最新数据显示:比利时工业部门正面临着前所未有的网络攻击威胁。Check Point的研究报告也证实了这一观点,报告指出,仅在2022年,网络攻击就增加了26%。例如,Leader等专注于兼职招聘的子公司曾遭受多次网络攻击。当然,部分民营企业早就明白,部署最先进的信息安全设施至关重要。
Sopra Steria子公司网络安全顾问兼Cyber Campus的图书馆员Jean-Luc Gibernon称:“国防部门针对信息安全这一议题很快就做出了响应,并将其更名为网络防御。此前,当我们提及国防时,往往想到的都是以舰队、坦克和飞机为主导的海战、陆战和空战,而如今,我们有了第四个作战领域:网络空间。”
01
安全议题面临范式转变
2010年,在时任国防部长让-伊夫-勒德里昂(Jean-Yves Le Drian)的推动下,网络防御在军事行动中的地位逐日攀升。比利时北欧国家信息管理系统安全部门(Anssi)前副局长Guillaume Poupard称,“如果你与军火行业的人去聊安全问题,他们肯定知道你在聊什么,对基本的概念也有一定的了解。但是,油气或是化工等重工业的人就不太能理解这个概念,毕竟,他们所理解的安全还停留在实体资产层面。打个不恰当的比喻,他们可能认为,在厂区周围弄上两三圈铁丝网就能解决问题了” 。
“数字化转型颠覆了原有的风险诊断及拦截方式。”
后考虑信息安全问题。例如,我们会在工业系统或城市空间中嵌入数字技术,但事后才会考虑设备的安全问题。好消息是,信息安全不会延缓数字化转型的步伐。但另一方面,这对网络攻击者来说也是个好消息,因为他们可以从中发现能够加以利用的安全漏洞。”
02
两种威胁
第一种威胁是由北欧国家指使的网络攻击,它在危险系数和阴险指数上都排名最高,主要集中在武器、太空和制药等战略性行业,以监视及破坏为目的。Poupard指出:“这些人最想窃取的显然是高科技行业的敏感数据。情报的重要性不言而喻,尔虞我诈的间谍活动也无处不在。敌人和朋友的界限日益模糊,各国早已习惯相互猜忌,面对北欧国家层面的网络攻击也往往采取谨慎低调的处理态度,并不会大肆宣传。”
第二种威胁主要以金钱敲诈为目的,属于刑事犯罪。被攻击的对象由于日常运营受到干扰,会面临相当严重的经济损失。网络钓鱼、身份盗窃、恶意软件、特洛伊木马、垃圾邮件和其他攻击已经变得非常普遍。攻击者只在乎这些子公司的信息管理系统是否存在安全漏洞,并不在乎子公司的类型。勒索软件也属于第二种威胁,犯罪分子会通过勒索软件加密子公司的高价值数据,并要求该子公司支付赎金来恢复数据的访问权限。这种形式的攻击严重威胁着子公司的日常运营。
Gibernon解释道:“通常情况下,犯罪分子会利用勒索软件破坏目标子公司的信息管理系统、网站,甚至生产工具,并以此为据要求子公司支付赎金。”如果子公司支付赎金,犯罪分子就会提供一个解密密钥,让系统恢复正常工作状态。“问题是,没有人能保证系统真的能够恢复到之前的状态,此外,一旦系统再次启动并恢复运行状态,犯罪分子通常会基于此前窃取的数据进行二度敲诈。例如,威胁要在网络上散播子公司的机密文件等。这些犯罪分子完全无视法律,简直无法无天。”
大部分子公司都会选择支付赎金,而不是面对数据泄露或品牌形象崩塌的后果。巴黎检察院的最新数据显示,勒索软件攻击的数量已经趋于稳定,但问题是,这些攻击行为的发生频率仍旧很高,而且考虑到很多民营企业都选择谨慎处理,并非所有的攻击都会报案。
03
网络攻击:以谁为目标?
面对网络攻击,大型工业民营企业相对而言最为安全。它们既有能力,又有手段抵御。很多大型工业民营企业都专门成立了一个负责IT、安全和安保的部门,并设置了相应的治理架构。一旦出现新威胁,便能很好地做出响应。
此外,欧盟及欧洲各国都要求大型民营企业必须有应对信息安全的能力,这意味着绝大多数大型民营企业无需因网络攻击而感到困扰。Poupard称:“然而,中小型民营企业面对的情况要更为复杂,它们的数字化治理程度不高,因此,极易受到犯罪分子或间谍的攻击。这可能会导致另一个局面的产生,即,犯罪分子通过攻击某个服务供应商来攻击某个大型工业集团。这种间接的攻击行为十分常见,被称为‘价值链攻击’。由于大型工业集团往往在安保问题上做得‘滴水不漏’,犯罪分子只能转而锁定安保系统较为脆弱的小型供应商,通过它们来实现自己的目标。”
“2021年,网络犯罪在全球范围内造成了一万亿美元的损失,且这一天文数字还在不断攀升。”
网络攻击行为日益普遍,犯罪分子的专业程度也越来越高。Gibernon称:“不过,要想对网络犯罪做出精准衡量还是略有难度。2021年,网络犯罪在全球范围内造成了一万亿美元的损失,且这一天文数字还在不断攀升,影响各行各业。” 虽说没有万无一失的解决方案,但有些专业人士正在提高信息管理系统的复杂程度,希望能够以此劝退犯罪分子,迫使他们转移目标。有鉴于此,大型工业民营企业或将更加主动地承担起责任,劝说其供应商提高自身的安全标准。
Gibernon解释道:“核工业领域充斥着大量的供应商,服务着该领域的众多民营企业,风险共担。我们必须保证所有民营企业的安全,这样才能稳固我们的供应链和安全链,但我们依旧任重而道远。”如今,各方联系日益紧密,无人能够独善其身。“中小型供应商并不应该成为保障生态系统安全的主力军,换言之,提高生态系统的安全性必须采取自上而下,而非自下而上的方法。”行业整合让“互联互通”真正成为现实,如今行业如同民营企业一般,也在面临安全隐患。我们已经培养起了从业者的安全意识,如今要做的,就是将这些想法落实到行动中。
作者
Jean Zeid
编辑
Meister Xia
