網(wǎng)絡攻擊為何是經(jīng)濟體最大的風險

最近發(fā)生的針對《洛杉磯時報》的網(wǎng)絡攻擊事件就是一個突出的例子，據(jù)悉，這次攻擊導致《洛杉磯時報》、《芝加哥論壇報》、《巴爾的摩太陽報》、以及論壇出版公司(Tribune Publishing)旗下的其他報紙延遲發(fā)行。此外，在2018年5月，針對荷蘭發(fā)動的一系列分布式拒絕服務(DDoS)攻擊事件，也導致該國三大金融機構的網(wǎng)上銀行業(yè)務受到嚴重影響被暫時關閉。
由于暗網(wǎng)的存在，網(wǎng)絡犯罪分子可以更為輕松地獲取到可用工具，犯罪行為也變得更容易實現(xiàn)，同時，合法電子商務和非法貿(mào)易之間的界限也逐漸模糊不清。2018年2月，荷蘭警方逮捕了一名18歲的男子，因其涉嫌對幾家荷蘭企業(yè)(包括技術網(wǎng)站Tweakers和互聯(lián)網(wǎng)服務提供商Tweak)發(fā)動了DDoS攻擊。調(diào)查顯示，該男子是通過暗網(wǎng)中的一個市場租用了Mirai變種物聯(lián)網(wǎng)僵尸網(wǎng)絡，以此來證明“一名青少年只需點擊幾下按鍵就可以讓所有銀行瞬間崩潰”——不幸的是，事實證明，他確實做到了!

事實上，如今的社會環(huán)境已經(jīng)變得更為脆弱。世界經(jīng)濟論壇(WEF)表示，發(fā)達經(jīng)濟體的商業(yè)領袖認為，網(wǎng)絡攻擊對于他們來說已經(jīng)成為排名第一的威脅，甚至要比恐怖襲擊(排名第二)、資產(chǎn)泡沫(第三名)、新一輪金融危機(第四名)或無法適應氣候變化(第五名)更為嚴重。
得出這種結(jié)論其實并不奇怪，因為隨著企業(yè)對技術的日益依賴，與網(wǎng)絡犯罪相關的商業(yè)風險也開始隨之增長。此外，智能設備的不斷普及也為網(wǎng)絡犯罪分子通過大規(guī)模僵尸網(wǎng)絡發(fā)動攻擊開辟了一系列新的攻擊入口。據(jù)報道，截至2025年，全球智能設備的數(shù)量預計將超過750億臺，超過全球人口總和的10倍。與此同時，地緣政治的競爭也催發(fā)了一系列由國家支持的網(wǎng)絡間諜組織所發(fā)動的更大更復雜的網(wǎng)絡攻擊活動。特別是，大型組織需要考慮各種網(wǎng)絡威脅——包括業(yè)務中斷、盜竊和勒索、聲譽受損、經(jīng)濟間諜活動以及關鍵基礎設施和服務的滲透活動等。不斷變化的威脅形勢與高度復雜的對手等因素混合在一起，使得網(wǎng)絡風險變得越來越難以管理。

企業(yè)對于網(wǎng)絡攻擊風險的認識正在不斷增長，此外，越來越多的組織也正在努力進行網(wǎng)絡風險管理。然而，正如世界經(jīng)濟論壇(WEF)所強調(diào)的那樣，與網(wǎng)絡威脅的龐大規(guī)模相比，網(wǎng)絡安全仍然資源不足。
據(jù)估計，網(wǎng)絡犯罪分子每年的收入為1.5萬億美元——相當于俄羅斯國內(nèi)生產(chǎn)總值的驚人數(shù)據(jù)，是2017年自然災害所導致的約3000億美元成本的五倍。一些研究預測，單個云提供商崩潰就可能造成500億至1200億美元的經(jīng)濟損失——相當于颶風桑迪(100-200億美元)和卡特里娜(1,134億美元)所帶來的“金融大屠殺”。

網(wǎng)絡攻擊可能會對企業(yè)造成嚴重破壞，顯而易見的金融和法律影響都還只是表象和前奏。2017年9月，Equifax公司泄露了超過1.45億美國公民的個人隱私信息，成為美國歷史上最大規(guī)模和影響的數(shù)據(jù)安全事件，也由此導致Equifax公司的股票下跌超過31%，公司資本市值蒸發(fā)50億美元。此外，在雅虎公司披露兩起大規(guī)模泄露事件后，Verizon將其收購要約削減了3.5億美元，約為原價的7%。可以說此次泄漏事件幾乎斷送了這筆交易，最終，雅虎公司不得不支付3500萬美元罰款來解決美國證券交易委員會(SEC)提出的“欺詐指控”，以及支付另外8000萬美元用于解決憤怒股東們發(fā)起的訴訟，同時還向美國和以色列的約2億名用戶提供兩年的免費信用監(jiān)控服務。
到了2018年11月30日，萬豪國際集團發(fā)布聲明稱，其旗下喜達屋酒店的一個客房預訂數(shù)據(jù)庫被黑客入侵，5億用戶信息或已外泄。據(jù)悉，這些客人中約有3.27億人的信息包括如下信息的組合：姓名、郵寄地址、電話號碼、電子郵件地址、護照號碼、SPG俱樂部賬戶信息、出生日期、性別、到達與離開信息、預訂日期和通信偏好。消息公布后，萬豪國際美股一度大跌逾5%。此外，萬豪還承諾支付受害客戶損失，但是按照每張護照110美元的標準來算，它將不得不支付360億美元，這筆數(shù)字已經(jīng)相當于該公司的整個市值。

其他因素也會影響網(wǎng)絡犯罪的后果。例如，企業(yè)的杠桿率(指權益資本與資產(chǎn)負債表中總資產(chǎn)的比率，是衡量公司負債風險的一個指標，從側(cè)面反映出公司的還款能力)比幾年前更高。自2010年以來，標準普爾(記錄上市公司的一個股票指數(shù))1500指數(shù)公司的債務權益比率幾乎翻了一番。因此，根據(jù)世界經(jīng)濟論壇的說法，它們的穩(wěn)定性甚至也會受到網(wǎng)絡犯罪騙局的威脅。
為了應對這種威脅，監(jiān)管框架正在全球范圍內(nèi)收緊——目前所見的包括歐盟《通用數(shù)據(jù)保護條例(GDPR)》和美國的新SEC指令等。當局希望所有組織都能準好應對威脅的準備工作，以最大限度地降低風險，并在發(fā)生網(wǎng)絡攻擊事件后提高透明度。
企業(yè)需要關注其對網(wǎng)絡事件的適應能力，尤其是要強調(diào)預防和響應。研究表明，只有約一半(52%)的組織配置了首席信息安全官(CISO)一職，且只有44%的組織表示他們的公司董事會正在積極參與其公司的整體安全戰(zhàn)略。在如今這個數(shù)字時代，這種比例顯然已經(jīng)遠遠不能滿足安全需求，需要重新進行思考和規(guī)劃。
由于幾乎每個企業(yè)都在以各種不同的方式進行數(shù)字化，所以只是單純的認為如今的網(wǎng)絡攻擊主要威脅科技企業(yè)就太過天真了!事實上，網(wǎng)絡犯罪分子正在將目光投向各個行業(yè)，其中許多行業(yè)都是前數(shù)字時代(pre-digital)的“滯留者”，例如酒店、航空公司和銀行等都是網(wǎng)絡犯罪分子鎖定的焦點。
所以說，現(xiàn)代企業(yè)的創(chuàng)新和發(fā)展必須與網(wǎng)絡風險和IT穩(wěn)定性相平衡。企業(yè)領導者比以往任何時候都必須制定戰(zhàn)略計劃，為新興機遇鋪平道路，同時還要概述他們的公司如何確保業(yè)務連續(xù)性，并應對全球數(shù)字格局中復雜的網(wǎng)絡威脅場景。