万物互联世界的网络风险

互联互通驱动着技术的不断颠覆，积极应对网络安全问题成为全球共识，安永要做的工作就是通过自动化技术来帮助企业将第一代网络安全能力升级。

——安永公司亚太区CYBER主管合伙人 Richard Watson

当今的世界有危险，有机遇，很明显我们现在面临着技术颠覆的时代。造成颠覆的原因是什么？原因包括越来越快的信息传输速度，比如5G技术，还有器械设备的互联互通，以及自动化技术的发展。技术的颠覆对企业的业务来讲意味着什么？企业需要改变运作模式、商业模式，我们现在的业务周期变得越来越短，各个行业之间不断融合，横跨的业务板块越来越多样，市场变化越来越迅速。

在技术颠覆的时代，广泛存在的是融合，有IT与OT环境的融合，还有网络与机械设备的融合等。随着AI技术的演变，以及自动化技术、传感器、云计算等发展，各部分运作系统之间的隔离正在被破除。这种技术发展带来的连接性可能会将以前的一些本地问题变成全球性问题，带来更大的企业声誉风险，造成重大的财务损失，甚至还会对人身安全造成影响。另外，这种连接性还会给整个OT系统带来严重的干扰。如果员工在没有被监督的情况下接触到了OT系统并做了错误操作，之前因为各部分系统之间是相互隔离的，所以一般不会发生问题，但现在一切都是相互连接的，所以问题会到处传染，并且在工业生产过程当中，问题会被愈来愈放大。

由于云技术的引入，OT环境不断地被放大，而且在整个操作系统当中，OT社区有了更高的意识，更易受到针对OT的病毒攻击，比如一些制造厂就受到了恶意勒索病毒的攻击，这些都激起了大家建设安全网络环境的意识。

我们测试了很多OT系统，发现了很多有意思的事情，不管是在交通领域，还是在制造领域，实际上有一些基础网络应用原则没有被应用到OT系统中。例如，我们在OT系统里面用的是明文密碼，但这在IT系统当中是不可以的。另外，OT系统打补丁是很困难的，在IT系统中我们可以通过下载更新补丁来完善系统，因此相较于IT系统，OT系统更易遭到恶意软件的攻击。

接下来我想要谈一谈亚太地区的一些公司和组织是如何应对网络安全方面的问题。首先，现在的公司和企业，不再采用基于标准的方法，而是更多地采用基于风险的方法来应对网络安全问题。其次，企业要清楚了解风险的类型和大小，进而制定控制、改善风险的措施，如果有更高的安全标准作为基准，那么我们要尽量去符合它。实际上我们最终的目标不是一味地去满足高标准，而是减少风险发生的概率，所以我们要了解我们暴露在什么样的威胁下，我们要知道竞争对手是什么样的。

我们要以长远的眼光看待未来网络安全的情景，要让管理层认识到网络安全风险对制造业的影响，引发重视，让网络安全置于企业管理层的中心位置，提前规划和组织安全防护的系统框架，未雨绸缪，有效预防网络安全事件的发生。

我们可以看到，整个亚太地区的网络安全应对措施在不断地变化，而且出现了更多以数据为中心的方法。以一个在供应链领域的网络安全问题为例，在交换数据的过程中，我们要明确我们是和谁在分享数据，要清楚了解和我们分享数据的网络的安全成熟性是否符合安全要求。如果我们花了很多钱保护数据，结果却把数据传输给了一个安全性很差的网络，这样之前的安全防护工作不就功亏一篑了吗？所以整个供应链都要建立起网络防范机制。

现在的一些网络安全计划、隐私计划、数据管理计划相互融合改进，实际上是为了更好地保障数据安全。就获取数据的方式上，我们有以下两个方面的措施：一方面可以根据不同的用户场景来设计不同的数据获取方式，另一方面可以规定不同的部门采用不同的方式获取数据以规避风险。

网络安全中心如果使用一些自动化的预警机制，就可以有效地调整工作流程，来降低风险发生的概率，所以自动化在网络安全领域发挥着越来越重要的作用。安永要做的工作就是通过自动化技术来帮助企业将第一代网络安全能力升级。

企业最感兴趣的还是信任，信任是进行任何商业行为所需的货币。网络安全可以帮助企业与利益相关方建立信任。现在网络风险管理成为了产品决策和业务决策过程中不可或缺的一部分。我们要建立全新的安全基础设施，就要了解有哪些实时的风险，而对于企业来说，只有以透明公开的方式来做网络安全的风险控制，才能赢得利益相关方的信任。

最后，管理层和董事会应该进一步了解并重视网络安全领域。我们要做的是针对网络事件进行正确应答，同时针对数据采用安全的访问方式，而不是阻止外部对数据的访问。我们应该明确的一点是企业的整体都应该对网络安全负责，而不是某一部分人。

我讲述的内容总结起来有以下四个关键点：一是互联互通驱动技术的颠覆，会改变很多应用场景;二是我们要采取基于风险的方法来应对网络安全，而不是基于标准的方法;三是网络安全是企业立足的支柱之一，能够构筑企业信任;四是董事会和高管面对不断新生的机遇，要正确看待问题，聚焦正确的活动，实施正确的措施。

（根据演讲内容整理，未经本人审核）