世界范围内,越来越多的商业价值和个人信息以数据形式被快速载入开放的全球互联技术平台。而与此同时,源自网络攻击的风险变得令人畏惧。如:犯罪分子通过诈骗和盗窃个人身份信息来攫取经济利益;竞争对手通过窃取知识产权或者扰乱业务来获取优势。网络犯罪造成的经济损失可能会达到数万亿美元。
麦肯锡与世界经济论坛合作开展的研究表明,公司在网络风险管理方面的能力捉襟见肘。随着显而易见的违规行为逐渐有规律性地发生,大多数技术主管认为,他们面对攻击者正节节败退。无论公司规模大小都缺乏做出有效决定的依据,传统的“保护外围”的技术策略被证明是不够的。大多数公司也难以量化风险和减灾预案的影响,大部分损害源于对于违规的反应不足而并非违规本身。
令高管们感到更为棘手的事情是,降低网络攻击的影响往往需要在减轻风险和满足业务需求之间做出复杂的权衡。只有少数首席执行官意识到网络犯罪的真实成本是由贻误或者错失技术创新造成的,这些问题在一定程度上造成了当公司选择技术投资时,会由于其对网络风险架构的潜在影响而变得非常谨慎。
企业关注的领域
从访谈和调查研究来看,关注点集中在高管如何看待网络风险、网络风险的商业影响、公司对风险的反应准备等领域:
超过一半的受访者和70%的金融机构高管认为网络安全是他们公司的一种战略风险。 值得注意的是,一些高管认为内部威胁(来自于员工)是与外部攻击同样重要的风险。
同样令人担忧的是,绝大多数高管认为网络攻击者将继续扩大他们领先于企业防御的优势。60%受访的高管表示,攻击的复杂程度或者速度在某种程度上将比机构的自我防卫能力提升更快。例如,高科技企业最关心工业间谍活动。鉴于普遍存在的“拆机”技术和产品设计的法律保护,泄露产品生产流程的专有知识比泄露产品规格更具有破坏性。服务性公司更关心消费者身份信息的遗失和泄露,以及服务中断。
根据麦肯锡正在开展的网络风险度调查,大公司不同部门之间存在着风险管理能力方面的差距。90%的被调查对象风险管理处于“初期”或者“成长期”中,只有5%的被调查对象在风险管理方面被评价为“成熟”。值得注意的是,研究表明,支出水平和风险管理成熟度之间没有关系。
一些公司虽然花费不多,但在风险管理方面却做了相对出色的工作。有的公司花费巨大,但却没有取得多少成果,即使最大的公司也拥有巨大的提升空间。比如在金融领域,高级非技术管理人员努力把网络风险管理纳入企业风险管理的讨论范围,但由于缺乏数据,他们往往不能作出明智的决定。
对于网络攻击的担忧,在一些领域正开始造成可估量的负面的商业影响。在高科技领域,整整一半的受访者表示,随着时间的推移他们将不得不改变研发工作的性质。
此外,也存在这样的担忧,就是网络攻击会减慢从云计算、移动技术和卫生保健技术获取价值的速度。约有70%的受访者认为,对安全问题的担忧推迟了公共云计算的使用一年或者更长时间;40%的受访者认为,这些担忧使企业行动晚了一年或更长时间。
网络安全控制对一线生产力有巨大的影响。约90%的受访者认为,网络安全控制对一线生产力有一定程度的影响。一半高技术管理者将现有的控制形容为“主要痛点”,认为其限制了员工的协作能力。
虽然高管们普遍认为减少网络攻击的威胁需要政策制定者、企业和行业协会开展通力合作,但是对于如何达成共识却有着相当大的分歧。高管们担心新的规定可能会以过时的技术为基础,而监管者的技术和能力可能不足。
全球经济处罚
从长远来看,如果攻击的节奏和强度增加并且与提升的防御不匹配,那么强烈反对数字化就会重新出现,同时伴随着大量负面的经济影响。根据麦肯锡全球研究院关于技术将会真正影响到未来十年商业策略的数据,估计接下来5年到7年时间,全球9万亿美元到21万亿美元经济价值的创造将依赖于健康的网络安全环境。
比如考虑到云计算。在一个可靠的网络还原生态系统加速数字化环境中,随着允许广泛部署非关键工作负载安全能力的提高,私人和政府部门可能会增加他们对公共云技术的使用,私有云会更多地处理敏感工作。在这种情况下,估计到2020年,云计算会创造出3.72万亿美元的价值。
然而,在一个网络攻击加速的环境中,公共云可能得不到充分利用,这会带来对漏洞更多的恐惧和由于遵守更严格的访问第三方数据和系统的高成本。这些问题会延缓许多系统的采用,并减少云计算的潜在价值达1.4万亿美元。
这些变化可以在许多领域发生,攻击者武器的多样化导致更广泛和显而易见的事件的发生,从而触发公众的反对和推动政府进行更严格的监管,这可能会明显减缓数字化的步伐。
事实上,对一些部门高管的访谈和研讨会支持了这样一个观点,就是网络监管环境变得越来越困难,早期的反弹迹象已经开始变为现实。