不法分子變得更狡猾了。無論他們是認識到要破壞世界、推進其議程，另一個辦法就是破壞像美國這些發(fā)達國家經濟穩(wěn)定性的恐怖分子，滿腹牢騷的企業(yè)內部人員，還是主要出于牟利動機的"普通"犯罪分子，現(xiàn)在的網絡犯罪活動越來越多，造成的經濟損失也越來越大。在信息技術安全界，近來大家在熱議2010年7月發(fā)布的《網絡犯罪成本基準調查》;這項調查是由安全咨詢機構波耐蒙研究所(Ponemon Institute)開展的，對美國公司作了典型抽樣調查。這家咨詢機構經常開展隱私、數據保護和信息安全政策等方面的獨立研究。

波耐蒙研究所通過典型抽樣調查似乎竭力想表明的一點是，企業(yè)風險管理(ERM)需要加強，特別是由于它與IT密切相關;許多公司在這方面還是很松懈，仍然抱著壞事不會發(fā)生在自己身上的態(tài)度。波耐蒙研究所這份長23頁的報告可從其網站上下載(http://www.ponemon.org/index.php)，不過下面是分為七個要點的概括性總結，還有本人的拙見，表明信息安全與貴公司的處境可能有著怎樣的關系。

與事先采取措施，加強環(huán)境安全所需的成本相比，網絡犯罪活動造成的損失高得多。

該調查聲稱，對于受網絡犯罪影響的公司來說，響應成本平均是每年380萬美元。而原本有望有效減少或防止同樣這些事件的技術和流程所需的成本一般不到其三分之一。換句話說，而且相當明顯的是，在大多數情況下，與事件/泄密發(fā)生后啟動臨時性的響應程序相比，事先規(guī)劃和緩解風險所用的成本要低得多。

而更為重要的是，確保成功的一個關鍵因素是，指定一位高層主管負責企業(yè)風險管理，可以是首席安全官，指定一名首席風險官更好。這位主管常常獨立地直接向董事會報告，真正了解整個企業(yè)的情況，而不是僅僅注重技術，他能適當地確保：風險管理這一塊在許多項目或計劃的一開始就"集成到里面"，而不是事后才想到，隨隨便便"擴充上去"。另外，隨便將IT安全和風險管理這項工作托付給另外某個業(yè)務部門的某個"下屬"，這個下屬還不是專門負責這項工作，那樣很快會招來大麻煩。

此外，制定和推廣一項企業(yè)風險管理戰(zhàn)略，遵守自愿治理/認證框架——如信息基礎設施庫(ITIL)、國家標準和技術研究所(NIST)安全指導等，似乎既能大大減小發(fā)生網絡犯罪活動的可能性，還能大大降低處理網絡犯罪事件的總成本。

網絡犯罪無孔不入，而且越來越常見。

你會問為什么這樣?許多公司似乎抱著一種漫不經心或驕傲自滿的態(tài)度，至少私底下是這樣，經常有類似的想法："我們的安全工作已經夠好了"，"我們已經做得比競爭對手更好"，"那些要求對于我們不適用"等等。從好幾個方面來看，這些頑固的態(tài)度是完全錯誤的!

貴公司又如何呢?同樣，要知道做到符合任何標準或法規(guī)，未必意味著安全無憂!與企業(yè)風險管理一樣，IT風險管理(信息安全、業(yè)務連續(xù)性/災難恢復、法規(guī)遵從和治理)也是一項不斷改進的計劃，不僅僅是"一旦搞好，就不用管"的項目。另外就是有利也有弊的社交網絡;社交網絡既是企業(yè)尋求潛在增長的最佳途徑，也是有人搞破壞的最佳渠道。一些分析師估計，30%的企業(yè)帶寬是被社交網絡流量消耗掉的。

一些支持者認為，Twitter和LinkedIn等社交網絡可起到幫助企業(yè)擴大服務范圍的作用?，F(xiàn)在一些IT廠商就是通過社交媒體網站來提供支持的。此外，公關和營銷團隊看到了社交網絡在開展促銷活動方面所具有的價值。對于許多公司的公關活動而言，YouTube正在變成一種更主流的平臺。

不過，盡管這一切是不爭事實，但社交媒體也可能為各種病毒、惡意軟件以及讓員工分心從而影響工作效率的東西提供了一條便利通道;員工最后可能會未經相應授權，就在社交網站上擅自討論敏感或專有的信息。此外，競爭對手和收債人現(xiàn)在也使用這些信息來源，核查公司的員工。

經濟損失最嚴重的網絡犯罪活動是由互聯(lián)網攻擊和惡意內部人員造成的犯罪活動。

貴公司使用或托管多少個面向Web的公共網站?你與云環(huán)境連接的通道又如何?有沒有通過嚴格的滲透測試或開放Web應用安全項目(OWASP)編碼規(guī)范，對任何這些網站進行核查?得到公認的更安全的實踐表明，我們應該每個季度進行一次OWASP掃描，每年進行兩次滲透測試。貴企業(yè)的變更管理流程多可靠?另外，有沒有考慮過"誰來監(jiān)管監(jiān)管者"的問題?企業(yè)內部有沒有針對特權訪問帳戶的審計和日志機制?盡量減少這類潛在漏洞需要遵循企業(yè)層面的威脅和風險管理戰(zhàn)略，協(xié)同實施安全信息事件管理(SIEM)、數據泄密防護(DLP)、基于主機的入侵防護系統(tǒng)(HIPS)等其他多項技術。

一遭到攻擊，迅速解決是降低經濟損失的關鍵。

據這個基準調查樣本顯示，要是不迅速解決，網絡攻擊造成的經濟損失還要大。該報告顯示，解決網絡攻擊平均需要14天;而企業(yè)蒙受的經濟損失每天高達17696美元!想想這樣的經濟損失給貴公司的利潤會帶來怎樣的影響?

調查顯示，要解決惡意內部攻擊，需要長達42天或更久。這樣的代價表明，面對如今的復雜攻擊，需要迅速解決。雖然這項研究沒有提到名譽受損(也就是成為新聞頭條的風險)造成的高昂經濟損失，但你的確需要考慮到這點。比如說，除了面臨官司和經濟懲罰外，要是貴公司被發(fā)現(xiàn)違反了更嚴格的個人身份信息(PII)保護法，比如加利福尼亞州、馬薩諸塞州或歐盟的相關法律，會面臨什么樣的后果?

企業(yè)因失竊而丟失信息帶來的外部經濟損失最高，其次是與企業(yè)運營受到中斷有關的經濟損失。

報告還提到，就一年而言，信息失竊占了外部經濟損失總額的42%。與業(yè)務受到中斷或生產力下降有關的經濟損失占了外部經濟損失的22%。報告隨后還表示，公司規(guī)模變得越大，它們面臨的潛在風險也會變得越高。伴隨這些經濟損失而來的是，因負面新聞和客戶/股東信心下降這"二次災難"所造成的費用和名譽受損。這時候，一項完備的、事先規(guī)劃的危機溝通計劃真的有助于力挽狂瀾。

察覺事件/泄密以及之后恢復如初是成本最高的內部活動。這還意味著，這些方面的投入可能是最容易被忽視的方面，由于這方面所需的成本比較高。不妨了解一下事實真相：如果沒有實際投入資金，或者投入很少，而高層主管又沒有抽時間用在風險管理上，或者所抽的時間很少，那么你擁有的只是另一項名存實亡、形同虛設的計劃。一旦釀成嚴重后果，只好聽天由命了?，F(xiàn)在我們開始聽到另一個花招：一些公司在耍這個花招，避開積極承擔應有關注(due care)這個責任的要求。雖然一些公司在為企業(yè)風險管理以及/或者信息安全"編制預算"，但從來沒有實際投入這筆錢。要不就是，一些公司聲稱自己在繼續(xù)研究更新的技術，但不是研究數周或數年，而是研究過程長達數年!一些監(jiān)管部門和保險公司注意到了這點，要是安全事件是因投保人疏忽而引起的，甚至還會指控欺詐罪名或者拒絕理賠。

所有垂直行業(yè)都很容易出現(xiàn)網絡犯罪活動。

這份報告表明，網絡犯罪的年均成本似乎大不一樣，具體取決于所在的行業(yè)領域;國防、能源和金融服務行業(yè)的公司蒙受的經濟損失高于零售、服務和教育行業(yè)的公司。不過，所有垂直行業(yè)都受到了不利影響，而且越來越頻繁地受影響。

在過去的五年間，越來越多上報的企業(yè)災難并不是天災造成的。而是許多公司有意承擔風險(不管是不是被動)造成的，而有些風險顯然是不應該承擔的。保險公司注意到了這點。它們在發(fā)放保單和進行理賠之前，越來越多地要求投保人進一步證明給予了應有關注，并進行了盡職調查。政府現(xiàn)在也注意到了這點!

有消息稱，聯(lián)邦政府可能很快會進一步就私營行業(yè)的風險管理發(fā)表觀點，特別是由于風險管理與IT密切相關。這里的前提是，如今IT被廣泛認為是現(xiàn)代高度互聯(lián)的經濟體中關鍵任務基礎設施的一個組成部分;而非政府實體在自愿遵守得到公認的風險管理實踐方面做得差強人意。目前正在積極討論的是更加嚴格的安全框架，比如支付卡行業(yè)數據安全標準(PCI-DSS)，可能作為所有公司(有一定規(guī)模/收入額)在"應有關注"方面新的最低標準。

所以，下次貴公司考慮預算方面的事宜時，也許應該至少鼓勵你的IT部門考慮專門為此撥出一些額外資金--起碼用于全面評估整個企業(yè)的安全狀況。只要花比較少的費用，就可以對現(xiàn)有的工作人員進行培訓，甚至讓其獲得認證，熟悉如何進行全面的評估。不過有個問題要注意。與客觀獨立的第三方機構相比，現(xiàn)有的內部人員常常有點疲憊不堪，評估時不大客觀公正。

理想情況下，公司應該定期進行內部評估，并著眼于收集和分析企業(yè)內部的評估結果。接下來的一步是，聘請有資質的外部機構來進行類似范圍的另一番評估，確保能夠準確地了解情況。外部機構還能提供獨立的專長，以確定風險管理和IT安全投資方面的主次之分。這樣一來，貴企業(yè)就可以更準確地了解自己的處境，需要怎樣投入，確保貴公司沒有在亂冒險，免得因安全事件而登上頭條，以及/或者可能給這個國家增添安全漏洞。

【編輯推薦】

1. 盜竊QQ號碼或判刑？“兩高”頒法量化網絡犯罪
2. 防范網絡犯罪侵入智能手機的要點分析
3. 天融信新推第三代終端安全風險管理解決方案
4. 中小企業(yè)須知的五大網絡犯罪犯罪防范
5. 七大最佳實踐打造信息技術風險管理“X戰(zhàn)警”