包括董事會(huì)成員和企業(yè)高管在內(nèi)的高層管理人員通常可以接觸到敏感信息，這使他們成為想要突破企業(yè)安全防御系統(tǒng)的網(wǎng)絡(luò)犯罪分子的主要目標(biāo)。高層管理人員的個(gè)人設(shè)備以及其他進(jìn)入點(diǎn)，都是網(wǎng)絡(luò)犯罪分子試圖侵入的攻擊載體。

 

正如首席信息安全官所知，網(wǎng)絡(luò)事件往往包括人為因素。根據(jù)Verizon 公司發(fā)布的2022年數(shù)據(jù)泄露調(diào)查報(bào)告，82%的數(shù)據(jù)泄露涉及人為因素，其中大部分涉及網(wǎng)絡(luò)釣魚、商業(yè)電子郵件泄露和證書被盜。

 

 

在眾多因素的推動(dòng)下，一種新的風(fēng)險(xiǎn)類型正在出現(xiàn)，它通過高度個(gè)人化的途徑針對(duì)企業(yè)高管進(jìn)行網(wǎng)絡(luò)攻擊。這種情況向首席信息安全官傳達(dá)的信息是，企業(yè)高管的數(shù)字生活可能是企業(yè)最薄弱的環(huán)節(jié)，而不僅僅是他們?cè)诩也捎霉驹O(shè)備和賬戶，他們家中的電腦、IT設(shè)備以及智能電氣設(shè)備，甚至社交媒體互動(dòng)都可能存在漏洞，并形成工作場(chǎng)所的安全風(fēng)險(xiǎn)。BlackCloak公司的首席執(zhí)行官Chris Pierson說：“這意味著家庭將成為新的網(wǎng)絡(luò)攻擊面。”

 

首席信息安全官確保內(nèi)部系統(tǒng)和人員到位以保護(hù)企業(yè)信息安全是一件容易的事情，但管理來自外部的風(fēng)險(xiǎn)要難得多，因?yàn)檫@些風(fēng)險(xiǎn)不容易控制。Pierson表示，企業(yè)高管的數(shù)字生活可能是一顆定時(shí)炸彈。

 

根據(jù)Pierson對(duì)企業(yè)高管的建議，39%的企業(yè)高管的個(gè)人數(shù)字生活在某個(gè)方面受到了影響。當(dāng)個(gè)人生活和企業(yè)工作聯(lián)系在一起時(shí)，這可能會(huì)給首席信息安全官帶來麻煩，他們會(huì)發(fā)現(xiàn)自己在無法控制的環(huán)境中難以有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

 

企業(yè)高管面臨的風(fēng)險(xiǎn)迅速增加，因?yàn)樾鹿谝咔轵?qū)動(dòng)的混合工作的興起，導(dǎo)致員工在工作和個(gè)人數(shù)字生活之間的模糊。復(fù)雜的地緣政治緊張局勢(shì)、針對(duì)企業(yè)的數(shù)字激進(jìn)主義的機(jī)會(huì)(尤其是在風(fēng)險(xiǎn)較高的行業(yè))，以及針對(duì)企業(yè)高管的經(jīng)濟(jì)利益進(jìn)行網(wǎng)絡(luò)攻擊，都增加了企業(yè)高管個(gè)人數(shù)字生活的風(fēng)險(xiǎn)。

 

畢馬威公司澳大利亞分公司網(wǎng)絡(luò)服務(wù)合伙人Gergana Winzer表示，大型企業(yè)的高管以及在媒體和社交媒體上有影響力的企業(yè)高管，可能會(huì)成為網(wǎng)絡(luò)犯罪分子攻擊的對(duì)象。Winzer說：“網(wǎng)絡(luò)犯罪分子已經(jīng)意識(shí)到，他們可以利用易于購買的在線惡意軟件或勒索軟件攻擊那些高凈值的企業(yè)高管以獲利。”

 

 

Pierson表示，這類個(gè)人風(fēng)險(xiǎn)可以有多種不同的形式，其中最大的風(fēng)險(xiǎn)之一是知識(shí)產(chǎn)權(quán)，例如企業(yè)高管的個(gè)人設(shè)備或個(gè)人賬戶中的公司文件丟失，這些設(shè)備或賬戶的控制較少或沒有控制。他說：“企業(yè)高管往往擁有復(fù)雜的智能家居系統(tǒng)，其中有安全攝像頭和服務(wù)器，承載著大量設(shè)備和服務(wù)，這些都是潛在的切入點(diǎn)。”

 

Pierson說：“與安全控制力度更強(qiáng)的銀行和金融機(jī)構(gòu)相比，企業(yè)高管因?yàn)橥瑯訐碛懈邇糁刀菀壮蔀榫W(wǎng)絡(luò)犯罪分子的目標(biāo)。我們看到他們的個(gè)人電子郵件被入侵，個(gè)人設(shè)備被惡意軟件入侵，以及遭遇其他的社交工程騙局。因此，經(jīng)濟(jì)利益是很多此類攻擊的一個(gè)重要?jiǎng)訖C(jī)。”

 

她表示，網(wǎng)絡(luò)犯罪分子還將對(duì)企業(yè)高管進(jìn)行惡意的深度人身攻擊。企業(yè)高管的個(gè)人信息泄露(姓名、地址、電話號(hào)碼，甚至個(gè)人照片和視頻等)讓他們?nèi)菀妆黄垓_和利用。Pierson補(bǔ)充說：“這些信息通常被用作勒索的手段，也可能造成非常嚴(yán)重的聲譽(yù)損害，甚至是恐嚇。”

 

專家表示，解決這些復(fù)雜的安全問題不能在企業(yè)高管、他們的家人以及與技術(shù)人員的互動(dòng)之間制造更多摩擦。Pierson表示，需要縮小這些類型的賬戶、服務(wù)和設(shè)備的網(wǎng)絡(luò)攻擊面，并確保可以降低風(fēng)險(xiǎn)。

 

 

當(dāng)首席信息安全官不能直接干預(yù)企業(yè)高管的個(gè)人數(shù)字生活時(shí)，確保他們?cè)谵k公環(huán)境和硬件之外得到保護(hù)是很困難的。Pierson說，“他們希望擁有隱私鴻溝，但只是希望覆蓋風(fēng)險(xiǎn)，并了解可以做些什么。”

 

Pierson表示，首席信息安全官需要準(zhǔn)確地了解企業(yè)和個(gè)人這兩種風(fēng)險(xiǎn)環(huán)境是如何以及在哪里交叉匯合的。他說，“可以從企業(yè)網(wǎng)站的‘關(guān)于我們’的企業(yè)高管頁面開始了解，然后弄清楚這些高管在個(gè)人生活中可能面臨的最大風(fēng)險(xiǎn)，以及首席信息官可以做些什么來應(yīng)用對(duì)或減輕這些風(fēng)險(xiǎn)。”

 

Winzer表示，復(fù)雜的、協(xié)調(diào)良好的網(wǎng)絡(luò)攻擊可能不會(huì)從企業(yè)的信息系統(tǒng)開始，而是從攻擊企業(yè)高管開始。作為一項(xiàng)預(yù)防措施，首席信息安全官需要對(duì)企業(yè)領(lǐng)導(dǎo)層和執(zhí)行團(tuán)隊(duì)風(fēng)險(xiǎn)狀況的變化保持警惕，這意味著要保持好奇心，并不斷發(fā)現(xiàn)盲點(diǎn)。而且這些盲點(diǎn)可能很大——例如經(jīng)常在媒體上露面、股票市場(chǎng)交易公開接受公眾審查，或者只是知名度足以被納入社交媒體對(duì)話的首席執(zhí)行官正在為潛在的黑客攻擊發(fā)出信號(hào)。她說：“作為首席信息安全官，需要意識(shí)到可能會(huì)損害企業(yè)高管以及他們?cè)谄髽I(yè)內(nèi)工作的威脅。”

 

 

為了彌補(bǔ)可能從個(gè)人滲透到企業(yè)的潛在漏洞，Winzer建議首席信息安全官進(jìn)行風(fēng)險(xiǎn)評(píng)估，包括確定需要保護(hù)的企業(yè)“皇冠上的寶石”。這需要包括評(píng)估潛在風(fēng)險(xiǎn)，包括人身攻擊，并制定減輕風(fēng)險(xiǎn)的戰(zhàn)略。

 

Winzer表示，這意味著要確保盡可能多的威脅或漏洞被記錄下來并加以考慮，這有助于評(píng)估任何個(gè)人違規(guī)行為的可能性和影響。她說：“需要評(píng)估這種威脅對(duì)企業(yè)高管和董事會(huì)成員意味著什么，然后從哪里采取行動(dòng)，這需要基于風(fēng)險(xiǎn)偏好以及企業(yè)認(rèn)為需要保護(hù)的重要內(nèi)容。”

 

她表示，風(fēng)險(xiǎn)緩解策略可能包括有關(guān)這些企業(yè)高管可以公開披露自己的哪些信息以及披露多少信息的政策。她說，“獲得盡可能多的信息來評(píng)估威脅，將其納入風(fēng)險(xiǎn)登記冊(cè)，然后采取行動(dòng)，而不是忽視它，這非常重要。因?yàn)檫@就是網(wǎng)絡(luò)世界的一切——每次忽視了哪個(gè)環(huán)節(jié)，網(wǎng)絡(luò)犯罪分子就會(huì)對(duì)這個(gè)環(huán)節(jié)進(jìn)行攻擊。”

 

 

除了風(fēng)險(xiǎn)評(píng)估和緩解策略，網(wǎng)絡(luò)安全培訓(xùn)有助于確保企業(yè)高管的數(shù)字足跡安全。國際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)新興趨勢(shì)工作組的成員Steven Sim表示，企業(yè)高管和所有員工一樣，應(yīng)該參加專門的防范培訓(xùn)，包括網(wǎng)絡(luò)釣魚模擬練習(xí)和桌面練習(xí)。他說：“在模擬網(wǎng)絡(luò)攻擊事件引發(fā)的企業(yè)危機(jī)期間，這些演習(xí)還應(yīng)讓企業(yè)高管(如果可能的話)參與決策。”

 

Sim說：“這些應(yīng)該是多年安全改進(jìn)計(jì)劃的一部分，如果企業(yè)還沒有像往常一樣實(shí)施的話，應(yīng)該跨越人員、流程和技術(shù)。面對(duì)監(jiān)管罰款和聲譽(yù)損害的威脅，它需要擴(kuò)展到數(shù)字和商業(yè)供應(yīng)鏈以及安全社區(qū)的智能生態(tài)系統(tǒng)。”

 

Sim建議，隨著網(wǎng)絡(luò)威脅形勢(shì)隨著新技術(shù)和工具的快速發(fā)展，企業(yè)高管及其風(fēng)險(xiǎn)登記冊(cè)都應(yīng)不斷更新。首席信息安全官必須持續(xù)衡量網(wǎng)絡(luò)安全計(jì)劃和項(xiàng)目的安全指標(biāo)、關(guān)鍵風(fēng)險(xiǎn)指標(biāo)和關(guān)鍵績(jī)效指標(biāo)，以確保交付成功的網(wǎng)絡(luò)安全改進(jìn)計(jì)劃。他說，“這有助于企業(yè)滿足當(dāng)前的風(fēng)險(xiǎn)偏好，并為未來防范企業(yè)高管和企業(yè)面臨的潛在威脅鋪平道路。”

 

 

Winzer認(rèn)為，在管理高管風(fēng)險(xiǎn)時(shí)，企業(yè)文化是另一個(gè)不可忽視的重要因素，這應(yīng)該確保每個(gè)人都在網(wǎng)絡(luò)安全方面承擔(dān)共同的責(zé)任。在實(shí)踐中，這意味著首席信息安全官必須采取全面的方法，而不是依賴補(bǔ)丁或培訓(xùn)計(jì)劃。雖然許多首席信息安全官多年來一直在這樣做，但她建議，要真正提升網(wǎng)絡(luò)安全文化，需要企業(yè)高管層采取強(qiáng)有力的合作方式。她說：“首席信息官、首席財(cái)務(wù)官和首席執(zhí)行官都需要共同努力，確保分擔(dān)責(zé)任的企業(yè)文化在企業(yè)內(nèi)部中實(shí)施。”

 

最重要的是，分擔(dān)責(zé)任是為了更好地理解有共同的風(fēng)險(xiǎn)。她說，“如果企業(yè)的首席執(zhí)行官受到網(wǎng)絡(luò)攻擊，個(gè)人數(shù)據(jù)和文件被泄露，包括有關(guān)他們身份的敏感信息或他們對(duì)企業(yè)的了解、商業(yè)秘密等，那么這就成了首席信息安全官的問題，并且不再只是首席執(zhí)行官的私人問題了。

 

如果每個(gè)人都意識(shí)到他們對(duì)自己的角色和網(wǎng)絡(luò)安全負(fù)有責(zé)任，那么就能更好地確保網(wǎng)絡(luò)安全。”

 

 

國內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智（www.cioall.com）。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)（微信搜索D1net即可關(guān)注）。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。