技术 供应链 物联网 商业运营 员工 并购 监管 董事会 8 网络风险 i2019年网络安全风险报告当前现状和前景展望发布日期：2019 年 4月2019年网络风险报告简介 . 1前言 . 2-3CEO 致辞 . 3网络风险 . 4-191.技术 . 4-52.供应链 . 6-73.物联网 . 8-94.商业运营 . 10-115.员工 . 12-136.并购 . 14-157.监管 . 16-178.董事会 . 18-19前景展望 . 21联络方式 . 22参考文献 . 238怡安的网络解决方案探索了无论公司和组织在数字化旅程中处于何种位置都可能会在2019年面临的八个特定风险。目录1简 介2019 年网络安全风险报告：当前现状和前景展望技术专家、安全专员和风险管理人员每年都会对我们当前或即将在发展过程中经历的“前所未有”的变化进行广泛讨论。事实上，变化以及新威胁的扩散已经成为了我们可以预见的永恒主题。全球经济的数字化转型继续日益加快地改变我们开展业务、工作和生活的方式。随着我们使用技术来加快信息传递，不仅会创造出巨大的机遇，也可能会引发更大的风险。而这种数字化转变带来的二阶效应鲜少为人所知：随着一个又一个的行业采用数字技术和数据来改变其业务性质以及与客户的交互，他们的企业网络风险状况也发生了翻天覆地的变化。在本报告中，怡安的网络解决方案探索了无论公司在数字化旅程中处于何种位置都可能会在 2019年面临的八个特定风险。我们认为，网络风险管理的发展趋势，必须是主动的对共同面临的威胁提前采取行动，并且在企业和行业内（包括跨企业和跨行业）进行协作。IT 人员必须不断搜寻不守规矩的人，提高防范标准，才能在不可避免地遭受到攻击时做好准备。2019 年，公司面临的最大挑战将是如何紧跟并及时了解不断变化的网络风险格局。能够对公司产生影响的威胁也会因行业、规模和地区的不同而呈现出巨大差异。公司有责任了解他们所面临的风险并积极主动地加以解决。20192019年网络风险报告2致 辞THE CEO 为了更好地应对攻击，公司应不断评估其整体的网络风险状况，落实修复建议并主动进行防御管理。J Hogg | Aon 网络解决方案 CEO3 言 我们每年都会检查威胁企业的关键网络安全挑战，我们的分析每年都会强调攻击规模正在逐步扩大，影响也逐渐加剧。随着数字化转型的发展，公司正在加快向云端迁移数据、制定新的数字化系统以及增加端点数量。生物医药、制造、能源和农业等行业的企业正在将有形资产与数字资产融合在一起。这些进步导致受攻击面呈指数级增长，以及公司需要应对一系列全新的风险。与此同时，网络攻击者正变得越来越复杂。有组织犯罪现在利用前情报成员进行更复杂的攻击，背后的操控者正在扩大攻击范围以及增加攻击频率。全球各国政府推出的相关监管法规也在不断变化，这也加剧了管理网络风险的难度。那么企业应如何应对如此复杂多变的风险？保护公司需要制定安全规则，并且需要最高管理层予的重视以促成全公司的协调合作。网络安全往往都是在网络事件发生后才会成为优先事项，但公司应不断评估其整体的网络风险状况，落实修复建议并主动进行防御管理。本报告运用了我们与全球多个公司的董事会、最高管理层以及安全和风险专业人士合作的经验，旨在探讨我们本年度最大的网络安全威胁。最重要的是，我们就企业如何了解、解决这些挑战并最终进行修复进行了说明。 J Hogg,Aon 网络解决方案 CEO风险2019年网络安全风险报告41拥抱数字化转型会带来意料之外的新风险过去，制作报纸和杂志的方式是制作纸质版文件，然后将其运往世界各地。今天，虽然当中一些企业仍然如旧，但大多数信息传播方式已经改变为分散成数以千计的“信息即服务”业务 -即网页广告位或出售在线数据库的订阅。又或者想一想汽车制造商。他们仍然主要通过制造汽车来创造价值，但这些车辆正朝着完全自动化驾驶的未来发展，包括已经配备移动网络、WiFi、蓝牙和红外（遥控钥匙）网络，并且还将搭载更多其他功能。这意味着，网络攻击面正在不断扩展和变形。同时，汽车制造商以拼车服务的形式提供新兴的“移动即服务”产品，这是许多专家预测的行业未来。1这种“一切即服务” (XaaS) 的机遇正在（即便不是全部也是大多数的）行业中掀起热潮，因为每个行业都采用数字技术和数据，并开始意识到他们创建的信息资产对客户群体也具有价值。随着传统的“实体”公司迅速发展成为数字经济“一切即服务” (XaaS)提供商，他们也将面临潜在的尚未被认识到的全新风险。在网络风险管理方面，网页和在线数据库面临的风险与印刷杂志完全不同；而就固有风险而言，完全自主的多重网络汽车与 2000年初期左右的汽车或基于该自动驾驶汽车的拼车服务也完全不同。随着持续的数字化转型促使公司组织采用新的经营方式，并且必须慎重考虑这些新的数字化风险。技术8 网络风险 5技术 供应链 物联网 商业运营 员工 并购 监管 董事会 1111000001010001110101000011000010010001000100000SaaS10010随着传统的“实体”公司迅速发展成为数字经济“一切即服务”(XaaS)提供商，他们也将面临潜在的尚未被认识到的全新风险。风险2019年网络安全风险报告62唤醒供应链安全的呼声日益强烈尽管公司建立了日益复杂的全球供应链网络，但是供应链的安全性问题经常不能被作为主要的考量因素。在最高管理层和董事会层面，供应链安全仍然常常难以引起关注。但唤醒的呼声预计会越来越强烈，因为两种盛行的供应链趋势大幅提升了网络风险。包括网络攻击方可能通过物联网及云服务扩张掌握到大量的企业运营数据，。第二是公司越来越依赖第三方甚至第四方供应商和服务提供商，这为攻击者打开了攻击其供应链的新后门。随着企业的数据中心逐渐迁移至云服务，尤其是再加上物联网等技术，有用的供应链管理数据更容易被运用起来。但这也在改变了网络风险，新的安全问题源于员工的“直通云”访问以及将多个公司的数据聚合到共享平台中。尽管人们认为，云服务提供商在保护数据方面比大多数公司做的都要好，但 IDG Research的报告仍然表明，有 25的公司没有设置云优先策略，主要是出于安全考虑。2对于很多公司而言，障碍在于如何根据其自身配置的需要设计安全方案。对第三方、第四方甚至第 n方供应商进行网络尽职调查和监督也是一项挑战，例如公司聘用的会计师事务所使用的是第三方数据托管公司，而这第三方数据托管公司又依赖于与第四方系统集成商的合作。在波耐蒙研究所 (Ponemon Institute) 于 2018 年进行的一项调查中，英国和美国有 59 的公司表示他们通过第三方遭受了数据泄露，但其中只有 35的公司认为他们的第三方风险管理计划非常有效。3 这样的问题继续在恶化，因为即使是供应商有错，网络安全法规也日益向被动遭受破坏的公司追责。例如联邦能源管理委员 (Federal Energy Regulatory Commission) 于 2018 年10月发布了供应链网络安全标准，要求能源公司降低第三方风险。到了 2019年 3 月，任何在纽约开展运营的银行都必须遵守纽约州金融服务局 (New York State Department of Financial Services) 制定的严格的第三方风险管理规定。由于创新加速和网络威胁倍增的综合影响，需要董事会层面对供应链进行前瞻性的风险管理来帮助维持可靠有效业务运行。供应链8 网络风险 7技术 供应链 物联网 商业运营 员工 并购 监管 董事会 110000100001000100010 0000011110010101010100110010100000 1 01 00101010101010011010001001011001010100001010101010110010100010100059% 35%只有尽管英国和美国有的公司表示他们由于第三方遭受了数据泄露。的公司认为其第三方风险管理计划非常有效。风险2019年网络安全风险报告83物联网无处不在并且引发的风险超出了公司的认知即便许多企业可能都没有意识到，但工作场所中到处都是物联网设备并且每个设备都存在潜在的安全风险。联网的物联网设备，如会议系统、安全摄像头、打印机和楼宇自动化传感器和控件，很轻易就可以在数量上超过公司托管的 IT资产。根据 Ponemon研究所 2018年进行的调查， 52拥有物联网库存的公司组织表示他们至少拥有 1,000台物联网设备，而调查显示出的实际均值则要高得多，超过了15,000 台。4但是大多数公司都没有安全地管理甚至盘点他们所有的物联网设备。部分原因是许多企业的物联网设备由第三方提供和远程管理，这就导致了风险的增加。安全管理不足的物联网设备已经遭到了攻击。在 Ponemon研究所的调查中，去年有 21的公司因不安全的物联网设备而遭遇攻击或破坏，其中 18的公司表示这些攻击是由第三方设备引起的。随着物联网设备越来越多地用于工业系统，物联网感染可能扰乱制造流程以及其他关键业务运营的风险也增加了。随着当前全球蜂窝物联网的推出以及即将来临的向更快的 5G网的过渡，在未来几年内，物联网终端的数量将急剧增加。但是，这些网络也将提供新的攻击媒介。更快的网络与易受攻击的物联网设备相结合可能会为更具破坏性的威胁打开大门，例如僵尸网络。它在分布式拒绝服务 (DDoS)攻击中可以利用大量易遭破坏的物联网设备来制服目标。此外新的僵尸网络恶意软件以及 Mirai软件的变种都在不断涌现，后者在 2016年感染了数十万个不安全设备并阻断了对某些互联网服务的访问。5因此，对公司组织而言，监控和盘点其物联网终端并评估与这些设备相关的风险非常重要。物网