信息安全
最大的敌人或许不是你的竞争对手,而是来自网络深处的黑客
安悦保险公司的CANDY又拿到一个客户,她心情舒畅,现在她要做的第一件事就是把这个客户的资料输入公司的数据库。跟往常一样,她一大早来到办公室,打开电脑,准备登陆主机,可是就在显示器亮起来的一瞬间她傻眼了:公司数据库被盗,所有客户资料失窃!
CANDY知道这意味什么:包括客户的身份证号码、银行账户信息、个人财产状况统统丢失,这些资料可能被盗用,可能被用于勒索和欺诈,可能造成用于银行存款被窃……当日安悦保险公司数据库失窃的事件被媒体曝光,安悦的股价直线下跌,保户打爆了安悦所有业务员的电话。
安悦紧急召开董事会,暂停一切事务,在最短的时间内拿出解决办法:解聘CEO和CTO,拿出1000万美金赔偿用户资料丢失的损失。
但是失窃事件直接影响了安悦的信誉,在接下来的3个月里,安悦的业务员几乎拿不到任何生意,而1000万美元远远不够用于赔偿,保户对安悦的起诉,让法院传票像雪片一样飞来,3个月之后,安悦宣布倒闭。
事实上,这世界上没有一个叫安悦的保险公司;但这样的故事,却很可能在未来发生在任何一家公司身上。
天灾,也叫“不可抗力”的灾难,通常指水火无情的自然灾害,而在科技越来越发达的今天,企业的可能要面临另一种“天灾”,那就是——信息安全威胁。
天灾实为人祸
当企业的业务、管理越来越多地依赖网络的时候,决策者们必须意识到企业的命运已经跟信息安全紧紧联系在一起。但令人遗憾的是,虽然信息安全将企业推上死路的例子数不胜数,因为安全问题造成的损失纪录也不断刷新,可是信息安全还没有被企业决策者们真正重视起来。
根据公安部《2004年全国信息网络安全状况调查分析报告》显示,2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。
一个企业就是一个决策者的企业,如果说一个企业的安全意识薄弱,那就是决策者的安全意识有问题。
若干年前,美国前总统克林顿在白宫召见被俘黑客,其中包括攻入美国军事安全系统浏览了所有核导弹部署的顶级高手。但是他们中的大部分人这样说:“我们的技术并没有你们想象的那么高超,将我们放入网络的,除了系统漏洞之外,就是那些管理者。”
然而,当年的故事还在上演。北京安泰网安网络科技有限公司的总经理邓臻告诉《中国新时代》:“目前企业家,尤其是中小企业的决策者对信息安全的认知程度,只能用两个字来形容——悲哀。”
或许多数企业家在看待信息的时候,还没有将其看作资产的一部分;企业的决策者就是企业信息的所有者,事实证明,没有哪一个企业的网络安全规则是在没有得到CEO大力倡导高度重视的情况下,顺利得以实施的。
是什么让企业家在面对信息安全的时候蒙蔽了双眼?“信息安全的投入产出比难以估算可能是重要的原因之一。”赛门铁克技术总监郭讯平对《中国新时代》说,“对于安全的投资可能无法立刻见到成效,这让很多决策者在安全投入上大打折扣。”
短视,可能是很多企业家最不愿意承认,却总是造成致命打击的缺点。
尴尬的CTO
勿庸置疑,今天对于企业的信息安全最大威胁来自于网络,而我们必须面对的一个事实是,没有绝对安全的网络,即便是最完美的系统,也存在着漏洞。
然而,为什么有的企业能安然在网上做生意,管理也日趋网络化,而有的企业却因为接入互联网而遭到灭顶之灾?当网络威胁已经无处不在的时候,当我们的安全产品还不能杜绝这些来自网络的灾难的时候,企业家们首先要做的就是在企业内彻底地贯彻网络安全条例。
很多企业家将企业网络的安全托付给CTO,但是事实证明,多数被赋予CTO之名的管理者,并没有CTO之实。企业决策者对网络安全的忽视,让他们很难将安全规划和安全条例彻底地执行,CEO和更高的管理者的个人意志完全可以凌驾于安全制度之上。
在很多企业里,安全制度根本没有受到尊重,谁都知道,一个不受尊重的制度如同茶余饭后的笑话——可以用来讲,但是效果不过是博人一笑。
如果CTO可以被看作企业网络的看门人的话,那些形同虚设的制度就如同门上的一把坏锁,每个有钥匙的人不知道它是坏的,CTO可能不知道它是坏的,而贼却知道。
CTO的另一个尴尬是,那些有着CTO之名的管理者,并没有CTO之能。令人担忧的事实是,很多企业中的CTO和他的部门也没有足够的信息安全意识。
赛门铁克技术总监郭讯平曾遇到过这样一个CTO。一次,赛门铁克为其网络做渗透测试的时候,他说,你不要给我讲你们的产品的性能有多好,如果你能证明我的网络很脆弱,我就买你的东西。赛门铁克的技术人员只做了一件事,在中午的时候给该公司的网管打电话,对他说我们是赛门铁克,我们做测试的时候账号用不了,你帮我重建一个吧。这个管理人员正在休息,随口就说你先用我的吧,我下午再帮你重设……接下来的事情可想而知,当日下午,当他们的CTO看到本公司的最重要服务器中的数据摆在眼前的时候,足足一分钟说不出话来。
只要稍稍做一个统计,我们就会发现,很多公司在购买了网络产品之后,原厂的缺省用户名和密码都未曾修改——如果现在你还能用ADMIN轻松进入公司网络系统,那你的网络管理人员根本就是不称职的。
广义安全
电子邮件在公司同事间的往来,已经成为再平常不过的事情,而这些CEO们或许不知道,他的员工可能就在某天接到他的邮件,命令其提交一份重要的报告,或者他的家人会收到来信,询问银行的账号和密码,然而他却对此一无所知……这不是假想,而是真正发生在眼前的“网络欺诈”。
可以想象,如果他的竞争对手,他的合作伙伴,收到一封以他的名义发来的邮件,内容我们且不作设想,后果已然可以预见的了。
据赛门铁克预测,间谍软件对网络的攻击将在2005年凸显出来,企业家们必须相信,文章开头的那一幕,完全可能在某天早上成为你床头报纸上的A1头条。
事实上,信息安全的薄弱之于企业家可能已经不只是一个意识问题,它还可以被看做是衡量现代企业的管理的一个标尺,“安全之于一个企业归根到底是一个管理流程,而不只是工具,”邓臻说,“尤其是对于中小企业来说,对于安全的重视直接反映管理水平。”
我们已经看到,在国际合作、吸引外资的活动中,越来越多的跨国公司要求中国公司通过ISO1799质量认证,在这个衡量企业信息安全的国际通用标准里,对安全控制的要求多达128项。
对于一个企业来说,信息管理的优化意味着良好的业务流程监控,意味着高效高质的工作,也意味着对自身商务信誉的重视。
不得不承认,科技是把双刃剑。在可以想见的未来,网络会越来越多地应用到企业的经营和管理中,或许对网络的拒绝就意味着在下一轮竞争中被淘汰的开始,而紧紧跟随时代的潮流就要学会利其利而钝其害,这也许是在2005年,或者在任何时候,企业家都永远不能放松的那根神经。