[[405205]]

企業(yè)采取一些安全措施可以在數據泄露事件發(fā)生時減少損失和對聲譽造成的傷害。

研究表明，數據泄露的數量和發(fā)展速度正在上升，給企業(yè)帶來的損失也在上升。根據Cyber​​security Ventures公司發(fā)布的有關網絡安全的一份調查報告，預計在2021年，網絡攻擊將給全球造成6萬億美元的損失。更令人震驚的是，全球網絡犯罪帶來的損失將繼續(xù)增長，預計未來五年每年增長15%，到2025年的損失將達到10.5萬億美元。

這些成本將由全球數以萬計的受害者承擔，但遭受黑客攻擊的個別企業(yè)將面臨多重并且巨大的損失。咨詢機構Infosys公司的一項關于長期數據泄露成本的研究報告表明，65%的用戶在企業(yè)發(fā)生數據泄露時會對其失去信任，其中85%的用戶表示不想再次與這些公司打交道。

根據IT治理協(xié)會ISACA在2021年的一項研究，只有32%的企業(yè)對網絡攻擊做好了充分的準備。然而，這種準備會帶來回報。行業(yè)專家指出，在網絡攻擊事件發(fā)生前采取更嚴格措施的首席信息安全官不僅能夠更好地防御和響應攻擊，而且還能最大限度地降低相關成本。

以下是首席信息安全官可以幫助降低數據泄露帶來的損失而采取的10個措施：

1.了解運營環(huán)境的復雜性，并知道是什么讓企業(yè)獲利

資深首席信息安全官Andreas Wuchner指出，IT系統(tǒng)的復雜性使企業(yè)能夠極大地擴展他們開展業(yè)務的方式和地點，但它也使防御網絡攻擊以及在受到網絡攻擊之后進行恢復變得更具挑戰(zhàn)性，因此企業(yè)需要提前做好準備。Wuchner現在是一家全球金融機構的高級安全負責人，也是咨詢服務機構Cybovate公司的聯(lián)合創(chuàng)始人。

Wuchner說：“越了解運營環(huán)境以及是什么業(yè)務為企業(yè)創(chuàng)造了更多的收入，那么就可以越快地恢復運行，并最大限度地減少業(yè)務影響，企業(yè)這樣可以及時止損。”

最近發(fā)生的美國Colonial輸油管道遭遇網絡攻擊導致關閉的事件說明了這一點。雖然早期的猜測集中在該公司的運營技術(OT)系統(tǒng)是否遭到破壞，但根據新聞媒體CNN的報道，“該公司因為其計費系統(tǒng)受到攻擊而停止運營......他們擔心無法弄清楚向客戶收取多少燃油費用。”

2.了解合作伙伴

企業(yè)的安全團隊處理網絡攻擊和數據泄露行為需要來自許多不同領域的專業(yè)人員的幫助。首席信息安全官應該在受到網絡攻擊之前就知道需要與誰合作一起應對，并達成一致意見，以便每個人在發(fā)生這樣的事情時都做好準備。Wuchner表示，這可確保企業(yè)快速響應以減少聲譽損失以及相關成本。它還確保合作的專家可以按合同收取費用，而不是按緊急處理事項來收費。

它有助于確保所有關鍵技能都包含在應對措施中。Hold Security公司的首席信息安全官兼ISACA新興趨勢工作組成員Alex Holden表示，一些勒索軟件的受害者同意網絡攻擊者的要求而支付贖金，因為他們沒有擅長與網絡攻擊進行談判的合作伙伴——這一失誤使數據泄露事件的成本增加了數百萬美元。

3.明確誰做什么

同樣，首席信息安全官應該事先了解其技能和權限的限制，并詳細記錄發(fā)生數據泄露時每個步驟或行動的負責人。

塔塔咨詢服務公司風險和網絡戰(zhàn)略全球管理合伙人Siobhan MacDermott說，“每個人都必須有明確的角色;現在不是爭論誰來負主要責任的時候。”

4.實踐違規(guī)事件的響應

企業(yè)需要對響應網絡攻擊事件進行練習，可以在發(fā)生網絡攻擊事件時減少恐懼和恐慌。Holden說，“我們有充分的理由進行練習，但在網絡安全方面沒有進行足夠的練習，而且當我們進行練習時，大部分時間都做得不好。”

定期進行練習的企業(yè)會培養(yǎng)快速處理真實交易和戰(zhàn)略性響應所需的肌肉記憶，避免可能造成更多業(yè)務損失、更大聲譽損害和更高成本的延遲和失誤。

5.聘請曾處理過數據漏洞的安全專家

在一些數據泄露事件發(fā)生后，一些安全專業(yè)人士認為那些被黑客攻擊企業(yè)的IT安全人員的職業(yè)生涯可能終結。事實并非如此，這些工作人員在處理數據泄露方面有著寶貴的經驗。

首席信息安全官應該考慮雇傭一些這樣的專業(yè)人士來幫助他們更好地做好準備。

6.概述和準備監(jiān)管要求

越來越多的國家和地區(qū)實施了規(guī)定企業(yè)應該如何處理數據泄露行為的法規(guī)，包括企業(yè)必須以多快的速度通知用戶他們的信息已被泄露，如果需要為這些用戶提供任何服務，以及什么情況下需要采取這些行動。

例如，歐盟發(fā)布的通用數據保護條例(GDPR)包括企業(yè)及時報告數據泄露的要求，并規(guī)定違反這些法律的企業(yè)可能會被處以最高為其年收入4%的罰款。

MacDermott表示，首席信息安全官應該與企業(yè)其他高管合作，提前了解哪些法律適用于他們，在什么情況下適用，然后準備在多種情況下都適用的模板語言。

她解釋說，“我們將每個數據泄露行為視為一個單獨的事件，其中80%的語言可以反復使用，只有20%需要針對特定事件進行修改。”

7.關注供應鏈的安全

VMware公司網絡安全戰(zhàn)略負責人兼威爾遜中心網絡政策全球研究員Tom Kellermann表示，黑客越來越多地利用被入侵和攻擊的企業(yè)來攻擊其他受害者，因此要為這種情況做好準備。Solarwinds供應鏈攻擊事件就是最近發(fā)生的這樣的事件之一。

Kellermann表示，很多用戶開始起訴那些被用作黑客基站的企業(yè)。他預測，今年將會看到股東訴訟和監(jiān)管處罰這樣的事件。

為了避免代價高昂的法律訴訟，企業(yè)首席信息安全官需要確保他們不會陷入這種困境，而如果遇到這樣的情況，可以盡快采取行動。此外，首席信息安全官需要更加小心地留意網絡攻擊者利用企業(yè)作為跳板的攻擊，即使這些企業(yè)并不是供應商或合作伙伴。

8.加強檢測和隱身模式的能力

應對導致高昂損失的黑客攻擊的最有效方法之一是對網絡攻擊者的行為進行檢測。Kellermann表示，首席信息安全官可以通過投資集成網絡和端點檢測、實時遙測和分析功能以及威脅檢測和其他領先的安全最佳實踐來做到這一點。

及早發(fā)現網絡攻擊者的行為有助于消除網絡攻擊活動。這當然很重要，但在不讓網絡攻擊者知道他們已被識別的情況下這樣做變得越來越重要。

他說，“我們需要在如何進行事件響應和威脅追蹤方面更加隱秘。”

9.培養(yǎng)更多的政治頭腦

想要對數據泄露做出快速反應的首席信息安全官還應該加強他們對地緣政治的理解。正如專家指出的那樣，許多網絡攻擊者得到一些國家的支持并按照他們的想法行事，不僅利用企業(yè)內部存在的技術弱點，這些企業(yè)并不總是能夠認識到會受到國際緊張局勢的影響。

MacDermott說：“當我們談論防御網絡時，了解地緣政治格局很重要。需要了解世界各地正在發(fā)生的事情，并了解一些國家的政治立場。這通常是首席風險官要考慮的問題，但首席信息安全官也必須考慮這一點。如果知道企業(yè)將成為地緣政治棋局中的棋子，或許能夠更快地做出反應，并讓合作伙伴為此做好準備。”

10.盡早讓高管做好減少數據泄露損失的準備

SANS公司首席信息安全官Rob T.Lee表示，首席信息安全官在遭受網絡攻擊之前應該提前做好準備。他問道，“那么將如何限制網絡攻擊和損害，使其不會成為損害企業(yè)的運營?”他補充說，在檢測到違規(guī)行為之后，企業(yè)沒有時間進行指責和猜測，必須快速應對和處理。他說，“在遭遇數據泄露之后，需要快速應對和處理，因為在幾天之內可能會對企業(yè)造成無法彌補的傷害。”