在网络犯罪猖獗的背景下开展业务

许多企业和政府每天都会遭受各种网络攻击，因此网络安全问题吸引了越来越多的关注。由于欧盟《一般数据保护条例》对数据泄露作出了巨额罚款的规定，同时网络攻击时常将数字基础设施作为对象，网络犯罪话题将继续停留在人们关注焦点范围内。那么，高层领导应考虑采取哪些措施，积极防范网络犯罪呢？

开展网络尽职调查

身处数据时代，就意味着可能随时会遭受网络攻击。据保守估计，未来几年内网络犯罪造成的损失将翻倍。网络攻击对声誉造成的长期损害将更加难以衡量，而其重要性始终不容忽视。

面对即将到来的各种互联设备（物联网）爆炸式增长的时代，各公司及其网络都将面临前所未有的风险。

下列关键问题适用于各行各业，进行并购交易的企业还可将此作为检查清单使用：

• 何种信息对营收最为关键？

• 信息是如何收集并存储的？

• 信息是如何受到保护的？

• 公司的网络风险状况如何？

• 公司之前遭受过网络攻击吗？公司又是如何应对的？

云计算并非解决之道

PageGroup技术主管Michael Reed指出，即便在IT运营上采用了基于云技术的外部解决方案，也无法保证公司不会遭受数据泄露的厄运，同时公司在保护数据上的责任也不会因此减轻。

他说道：“许多公司都通过外包的方式以及基于云技术的服务完成IT运营的大部分管理工作。但这并不会减轻他们在保护数据安全、防范滥用和泄露风险上需要承担的责任，此外，他们也无法通过将数据存储在海外地点而规避当地相关法规的监管。”

“许多公司现在都在采用外包和基于云技术的服务。但这并不会减轻他们在保护数据安全、防范滥用和泄露风险上需要承担的责任。”
Michael Reed，技术主管，PageGroup

优步账户数据遭窃事件就是一个典型的例子。这次数据丢失事件引起了媒体的极大关注，攻击者窃取了优步存储在亚马逊的Amazon Web Services云服务器上的信息，共有5,400万人因此受到影响。优步随后向攻击者支付了86,000欧元的封口费，这一举动让情况变得更加复杂。

谁该为维护网络安全负责？

信息技术通常视作属于首席财务官的职责范围，因为大多时候公司需要就该领域的资本支出提供合理的使用依据。但在涉及网络安全时，应该由哪位（些）高层领导承担整体责任呢？谁将是相关责任的最终承担者？

毫无疑问，高级管理团队对此负有责任，而首席财务官通常会从企业风险管理的角度来主导网络安全工作，通过落实经测试且通过检测的框架，实施相关流程和策略保障公司网络安全。

但PageGroup了解到，有些客户公司采用了一种不同的方法。PageGroup信息安全部总监Louis Botha表示，由于威胁变化速度太快且其往往有多个源头，仅通过采取防范措施加以应对的效果有限。

他说道：“受近期勒索软件攻击事件的影响，数家防御体系完善的大型跨国公司陷入瘫痪，由此引发了人们对这个问题的思考：首席财务官是否对这一领域有足够深入的认识，从而能够充分了解该领域涉及的相关复杂内容。在此背景下，越来越多的公司设立了董事级别的首席信息安全官（CIO）职位，以弥合公司业务与技术部门间的理解差距，同时确保公司领导对相关事务负责。”

“越来越多的公司设立了董事级别的首席信息安全官（CIO）职位，以弥合公司在业务与技术部门间的理解差距。”
Louis Botha，信息安全部总监，PageGroup

越来越多的公司意识到，需要建立一个具备必要知识和技能的专门安全团队，以应对网络犯罪带来的风险。如上所述，单纯的防范措施是不够的，团队还需要采取主动策略，在入侵防护和检测方面做好充分准备。他们需要积极主动地纠正、弥补IT基础架构中的缺陷和不足。

PageGroup的Michael Reed补充道：“公司会雇用外部公司定期通过安全渗透测试检查系统缺陷，这是一种行之有效的方法，因为这些外部检测公司更了解不断演变的新式攻击手段和相关风险。”

由于网络安全已成为了整个公司层面的问题，因此需要对用户行为进行细致审查。高级管理人员必须提高员工的风险意识、强调设置高强度密码的重要性，并要求员工只接收来自经验证发件人的电子邮件和附件。

由于网络安全已成为了整个公司层面的问题，因此需要对用户行为进行细致审查。高级管理人员须提高员工的风险意识。

事关存亡的恢复计划

随着人们日常生活及企业的数字化程度日益上升，数据的价值也变得越来越大。民族国家通常拥有大笔预算，因此得以愈发频繁地利用网络战，助力其传统的进攻战略，进而令现代企业深受其扰。

对于网络攻击，如今人们需要考虑的已不再是“它会不会发生”，而是“它何时会发生”。因此，为了避免上述措施无法发挥预想中的作用，进而导致难以想象的后果，公司需要积极制定相应的计划和方案。

对于某些公司而言，遭受网络攻击后，它们需要做的只是从服务器上恢复数据、重新启动公司网站，而对于另一些公司来说，攻击后的恢复工作可能会涉及关键IT系统重新搭建等复杂内容，一些公司甚至可能需要花费数月的时间重新生成因此丢失的公司数据。

美国国家标准技术研究所（NIST）最近发布了《网络安全事件恢复指南》，为制定恢复方案提供了诸多建议。该指南提出了如下建议：企业应制定一个熟悉业务运行所需系统的关键组织人员清单，并经常更新；记录并掌握企业自身的关键数据；确定负责恢复数据的人员；制定包括沟通工作在内的整体计划，并在此过程中对所有资产进行监控。

《一般数据保护条例》增加了违规成本

请牢记，《一般数据保护条例》旨在为掌握欧盟公民和居民数据的各企业和公司增加违规成本，无论适用该条例的公司位于世界上的哪个国家或地区，都需要接受该条例的监管。它扩大了“个人数据”的定义范围，并且将对违规及数据泄露行为施以严厉处罚，对于情节最为严重的侵权行为，最高可处以全球年营业额的4%或2,000万欧元的罚款（以较高者为准）。

由此可见，如今数据安全问题已不容忽视，不再是可交由下属团队代为处理的问题，这样的严峻形势前所未有。高层领导需要勇于承担相应责任。

重要见解