ISA总裁：不能再用传统观念应对网络安全问题

国际互联网安全联盟(ISA)总裁兼首席执行官Lawrence J. Clinton

　　新浪财经讯 “2018北京金融安全论坛”于12月4-5日在北京房山举行，论坛由中国互联网金融协会、北京市地方金融监督管理局、北京市房山区人民政府担任指导单位，主题为：防范金融风险 维护金融安全，国际互联网安全联盟（ISA）总裁兼首席执行官Lawrence J． Clinton出席并演讲。 

　　据统计，银行系统受到的网络攻击每秒就有3个，2017年因为金融系统网络攻击造成的损失达4450亿美元，增长了30%，在2017年美国金融公司网络安全支出增加了67%，在未来会进一步增长。

　　为什么在应对网络攻击的挑战当中我们现在损失的这么惨重呢？LawrenceJ.Clinton认为，很大的原因是因为面对21世纪的问题时，我们的心态还是20世纪的，而网络世界的数字化的问题是21世纪全新的问题，不能再用传统的观念处理。LawrenceJ.Clinton建议做好网络安全的顶层设计，让董事会成员进一步了解他们的网络安全给他们带来的一系列不利的风险，以及他们也要通过结构性的调整在整个公司内部做出调整，这样才能进一步应对网络安全问题。

　　以下为演讲实录：

　　LawrenceJ.Clinton：今天非常荣幸能够在此发言，而且我也觉得今天之前的讨论对我收益颇丰，大家的观点非常的诚实。首先我说一下我的观察。

　　首先说到互联网的几大特性就是实现了互联互通，从安全的角度上来说这一点特别的重要，从历史的角度上来说，一个企业、一个机构、一个单位，它进行防御的时候如果说害怕受到攻击，那么你就可以增加安保，安装更多的摄象头就可以实现，但是在数字世界当中是没有办法这么做的，你的安全受到一定的影响主要是因为在这个互联互通的世界当中你的命运和其他人的命运是联系在一起的，这对于金融服务来说尤其重要，因为现在的金融服务互联互通已成为了它的根本性的特点，在这种情况之下要保证金融服务公司的安全就完全依赖于整个生态系统的构建，我们在这里面对的问题并不是每一个公司的问题，而是所有人共同面对，应该共同应对的问题，这是第一点。

　　第二点我们需要知道的是，如果我们拒绝了数字化的趋势，那肯定最后会落后的，因为现在我们其实是没有真正做到与时俱进的，虽然大家都在说，现在数字化的趋势多么的重要，但是我们现在并没有做到与时俱进，因为现在世界各地的银行都也说，他们其实面对的威胁也是越来越多了，因为比方说有人说每一秒他们发现的他们银行系统受到的网络攻击每秒就有3个，而且去年因为这种金融系统网络攻击造成的损失达到4450亿美元增长了30%，而且在2017年美国金融公司网络安全支出增加了67%，而且这在未来会进一步增长，我们认为这个问题是21世纪特有的问题。

　　所以我们现在必须要问自己，为什么在应对网络攻击的挑战当中我们现在损失的这么惨重呢？我觉得很大的原因是因为面对21世纪的问题我们的心态还是20世纪的，很可能这是一个很常见的问题，因为刚才我们说到的，很多都是宏观经济的问题，但是这些原则是20世纪的，而网络世界的数字化的问题又是一个21世纪全新的问题。

　　我认为在这种情况之下，我们对于网络攻击的分析可能有点放错重点，因为过去我们看到的往往都是技术方面的问题，但是这个技术它只是关注的网络问题发生了一个技术手段，但是并没有探究网络攻击发生了一个根源，但是如果真正要在21世纪解决问题这些问题的话一定要追根到底从经济角度分析，并不是从宏观经济的角度分析，宏观经济当然也非常重要，但是我们必须要考虑清楚，网络安全方面它的经济激励在哪里：

　　一是因为现在首先是网络攻击的成本非常的低廉，花不了多少钱就可以发起一个攻击，第二是它的收益非常之大，而且重复模式非常之高，用同样的模式可以攻击好多次。第三从防御的角度上来说，一开始它就是一个开放的系统，所以它的脆弱、它的漏洞本身就会很多，未来随着接入越来越多物联网越来越多，它的脆弱程度会不断的增加，也就是说我们从防御的角度比黑客已经是落后了一代人的时间了。

　　我觉得这从经济学的角度商来说我们就在供需双方出现了不平衡，只有从经济角度看待网络问题，真正在产业和企业政府之间实现一个社会契约才能够真正有效的应对网络安全，不然肯定会不会成功的，我在这里想给几个建议：

　　一定要从顶层开始需要在网络安全方面找到合适的领导者。在网络安全方面大部分的观众都是从上而下的，特别关注的是IT基础设施建构，当然这一点也非常的重要，但是我们所真正需要的是从顶层设计着眼，而且可以说我们联盟在这方面已经尝试了很多了，几年前在美国的董事会联盟找到了IIC，我们希望能够在董事会的层面特别关注网络安全，不要讲IIC的标准，或者美国NACD的标准，要从一个管理者的角度让他们理解网络安全，因为大部分的管理者不关注技术细节，他们关注的是创新、关注的是并购，共更关注战略性的合作，所以我们在手册当中希望尝试的就是把网络安全真正融入到管理者能够理解的角度解释，所以第一届办的非常成功，后面我们把这个业务带到了英国，也是希望帮助德国来解决，因为德国它的董事会的结构和美国不太一样，所以我们得做出调整。

　　最近也有人跟我们说希望针对拉美做一个类似的项目，因为他们所面对的问题可能更加独特一点，特别是在政府当中腐败的问题非常的突出。但是幸运的是我们现在也已经发现，我们有4条原则是对于这四大区域是共有共用的，我们做了一个独立的研究，由PWC所开展的，他们发现NACG的指南建议，董事会应该从整个企业角度、整个机构角度看待网络风险，并且了解潜在的法律影响，他们应该与管理层进行网络安全风险前期应对方案的探讨，并且在考虑网络威胁的同时考虑到企业对风险总体的承受能力。但是实际上重要的是董事会正在听取他们的建议，现在我们看到在信息安全上大多数的董事会成员他们增加了对信息网络安全的关注度。很多董事会成员也参加到了关于网络安全的预算讨论整个网络安全方面的预算也进一步增加了20%。他们也进一步提到关注核心风险，要建立一个具有企业文化的风险安全意识，此外他们也参加到了各种各样网络安全的会议当中，这样也帮助很的网络安全的话题得到深入的讨论。其实这就是一个来自网络安全的声明。这是在整个董事会层面上，而不是在IT层面上的关注度。

　　此外我们还有很多其他的重要问题，我并没有太多时间做这方面的逐一介绍，也希望在后续如果大家对这个话题感兴趣可以一对一的沟通，首先我介绍一下我们关注的原则，关于网络安全并不只是IT部门所面临的问题，而是一个公司管理层面临的问题，是一种企业问题，我们要高度重视网络安全。此外我们也需要让董事会成员进一步了解他们的网络安全给他们带来的一系列不利的风险以及他们也要通过结构性的调整在整个公司内部做出调整，这样才能进一步检测出网络安全问题。

　　第四主要原则是在管理层必须要给董事会汇报，给他们推荐一个网络安全的基础框架，我们现在有技术框架，此外还有很多其他的汇报给董事会的管理层框架，这里就不给大家做逐一介绍了，我只是告诉大家我们需要重新思考整个企业文化，这样才能更好的从企业、从风险管理层面更好的应对风险，传统角度来说我们主要是关注IT部门，让IT部门解决任何网络安全的问题，但是IT部门有时候并不了解业务本身，也不了解整个公司的经济层面，我们希望在整个企业层面上大家都能参与到这样的网络安全框架，我们建立了一个美国的标准研究所，我们要重新构建网络安全框架。这样的话网络安全并不是一个公司内部的独立的部门来应对，而是在整个企业、全企业层面上，让所有人都能够参与到的框架，这样才能够进一步解决潜在的风险，如果IT部门来解决网络安全的问题，他们有他们自己的解决方案，人力资源部门如果面临网络安全风险的话，他们要提出人力资源部门的解决方案，所有的部门都必须要参与进来，来解决网络安全问题。

　　最后一点是关于预防风险上，我们这里也有一些好的消息，其实对于管理层他们必须要有非常全面的风险分析，这样把这些信息汇报给董事会层面之后，再进行一系列风险分析，这样才能够确保正确的资源用到正确的地方，传统的方式就是通过这些检查表，对的画勾，比如这个合格了画勾，不合格画叉等等，通过这种方式，这种方式并不能够帮助我们了解哪个问题会导致网络安全，比如我们检查51个点，60个点看看对和错，但是并没有人知道每一点和网络安全有什么样的连接度，现在我们有更加强劲的系统进行网络安全管理，在整个经济层面上衡量这些网络风险。

　　我昨晚吃晚餐的时候跟很多人分享过，我60年代长大的，在美国60年代的时候，我们有些时候会藏在桌子下面害怕核危机和核风险，在核时代我们有各种各样风险还有条约，比如有核武器扩散公约，我们现在和中国也面临网络风险方面的问题，我们现在是同舟共济必须要一起合作，美国在60年代和俄罗斯也面临着同样的关系和网络，现在和中国也面临同样的关系和网络，我们希望能够和大家一起应对这个问题。

　　新浪声明：所有会议实录均为现场速记整理，未经演讲者审阅，新浪网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

责任编辑：谢长杉