Stephen M. Soble：如何科学全面的评估网络风险

美国Assured Enterprises公司董事长兼首席执行官Stephen M. Soble

　　新浪财经讯 “2018北京金融安全论坛”于12月4-5日在北京房山举行，论坛由中国互联网金融协会、北京市地方金融监督管理局、北京市房山区人民政府担任指导单位，主题为：防范金融风险 维护金融安全，美国Assured Enterprises公司董事长兼首席执行官Stephen M． Soble出席并演讲。

　　StephenM.Soble说，当一个企业关注今网络安全时，首先要从董事会层面要了解风险、合规以及责任之间的关系，重要的是专注数据、专注资产负债表，要进一步确保所做出的关于技术的判断可以得到衡量并且谨慎的评估。

　　此外也需要评估这些董事会成员以及这些财务机构的高管层有哪些最佳实践，要了解过去使用了哪些应对风险的方法，为什么现在一些领先的、全面的应对风险、合规和责任的益处已经不够了。

　　从董事会层面来看，必须要知道如何评估风险，意味着不仅仅要关注潜在的风险、不光是企业内部人员的风险、数据的风险以及硬件、软件还有整个预算流程以及人力资源的所有流程，所有这些都是对于网络安全有潜在的影响。

　　主要做法就是要进一步深挖具体的网络安全细节，这样才能够进一步评估网络风险。

　　以下为演讲实录：

　　StephenM.Soble：非常荣幸能够来到这里，在2017年整个世界损失了八千多亿美元，主要是出于网络安全方面的损失，今天我希望能够和大家分享一下我们说听到的，在今天早期大家所讲到的一些具体事件，此外我也要提醒大家，当我们谈到网络安全的时候，我们主要的意思是如何保护数据，其实网络安全主要是关于数据。

　　Assuredle Enterprises是什么样的公司呢，我们是一个风险评估、风险管理以及风险测量、风险降低的公司，我们提供一系列关于网络安全的服务，同时我们也打造量身定制的客户解决方案，我们主要关注云计算、AI、大数据以及区块链的需求，此外我们也会一起合作给客户提供适合的解决方案，确保整个网络安全的生态链都可以得到保护。我们今天要讨论的主要的问题是，根据之前我们听到的精采的演讲以他们作为基础，比如LawrenceJ.Clinton以及李扬、谢平他们提到了非常精采的演讲，还有其他嘉宾的演讲他们给我们进一步提出，重要的是专注数据、专注资产负债表，要进一步确保我们所做出的关于技术的判断可以得到衡量并且谨慎的评估。当我们关注今天的网络安全这个世界，我们想评估的主要的问题是，首先从董事会层面要了解风险、合规以及责任之间的关系，董事会成员他们就这三点需要了解到哪些？此外我们也需要评估的是，这些董事会成员以及这些财务机构的高管层有哪些最佳实践。此外还要了解过去使用了哪些应对风险的方法，为什么在现在这些传统方法已经不够了，为什么一些领先的、全面的应对风险、合规和责任的益处已经不够了。此外我们要问一下这种区块链技术是不是能够保障安全，是不是能够改变未来整个金融市场的格局。

　　从董事会这个层面来看，对于任何一个公司、任何一个组织，我们都必须要知道如何评估风险，意味着什么呢？意味着我们要进一步超越这些简单的核对表，我们不仅仅要关注潜在的风险、不光是企业内部人员的风险、数据的风险以及硬件、软件还有整个预算流程以及人力资源的所有流程，所有这些都是位于网络安全有潜在的影响。我们主要的做法就是要进一步深挖具体的网络安全细节，这样才能够进一步评估网络风险，我们可以在整个力度、细节的层面来评估这些网络风险，这是因为我们有颗粒度的细节，这样才能根据事实管理风险。我们把所有的数据收集到一起之后进行一个专业特别的风险引擎进行评估，这是整个社会面临的最高标准，也就是说我们整个风险分析系统其中包括一系列的模型，收集系统包含很多颗粒度的分析，我们可以提供可预测的分析方法，以一种谨慎审慎的态度进行评估，我们不能够假设一种算法比现有的算法更加有效。

　　此外这也意味着我们也要找到所谓的关联度和关系度，在整个业务的生态系统当中，如果我们使用一个特定的防火墙或者说其他一系列网络安全的工具对于我们来说意味着什么？有些时候不同的网络安全工具并不能合用，有些时候我们也了解，这些网络安全是非常具有颗粒度细节之处的，我们必须要知道是不是能通过整合两个网络安全工具，可以产生其他额外的风险，我们可能以为通过共用两种网络安全工具可以帮助我们降低风险，但是反之它是可以产生新的风险的。

　　当我们关注这些颗粒度的细节数据，再做出一个路线图，这里并不是一个核查表或者简单的报告而是路线图，路线图有两个主要的功能，1、帮助我们明确哪些做法是正确的。2、能够帮助我们给出非常具体的建议，告诉我们如何降低风险。因为我们可以提供一个网络评分，通过整个风险分析系统得出一个网络得分，可以得出，如果你希望进一步提高这个分值这些是你必须要做的步骤，这样才能够进一步提高网络安全的分数。如果一些公司要问为什么我们得了这么高的网络安全得分，为什么我们不能够得到比现有分数更高分值？我们可以回答，可以通过一些细节回答他们的问题。

　　这意味着什么呢，也就意味着我们现在是能够给出一个风险管理的计划，给到董事会这边。这就是因为我们现在能够考察方方面面的内容，包括他们的云系统、安全控制中心，甚至包括在他们套利系统当中的IT架构，这也是他们自己在金融机构当中使用的信息技术架构。而从董事会的角度来说，他们特别关注于合规，所有人都希望能够保证监管部门对他们的表现是满意的，合规是非常重要的，但是合规并不等于安全，合规和安全相向而行，但是不能够替代彼此。

　　当我们看待美国合规的时候，我们的金融机构所面对的一些问题主要是来自于GDPR，主要是来自于欧盟的，纽约州金融服务部门有自己的网络安全规则，而且定义的非常明确，这就要求有漏洞检查，每年要进行两次，但是它不告诉你这种漏洞的扫描是什么样的，结果出来之后该怎么办。

　　什么都不说，但是这些细节比方说像GDPR还有纽约州的规则现在已经变成了常态，美国的其他州现在还开始采纳这些规则，除此之外他们的放假，比如像NYS框架非常普遍，世界各地大家都使用的是国际最佳实践标准，ISO2001或者2002，还有很多其他的例子，所以我们现在看到的就是我们已经在我们的系统当中集成了自动的产生超过30监管合规性的报告，或者说我们已经建了一个超级的数据集，包括所有合规相关的报告，而且我们的报告是针对加拿大的、英国的、欧盟的还有很多其他国家的监管机构的，我们的立场就是如果说我们没有合规体系，不能够将这个系统集成，请告诉我们你需要什么，我们会不计一切代价把其他国家的要求整合进来。最后这个系统让我们能够实现的是非常复杂的讨论，关注的是关于网络风险保险的，我们现在已经知道了风险是什么、能够看到下一步应该采取什么措施，所以我们也可以看一下现在已有的保险架构来改善覆盖率或者改善我们的保费。

　　但是现在我们稍微退一步来审视一下传统的董事会的方法，他们会有一个单独的第三方的风险评估是针对于有一个年度审核，而且每个监管机构都会出一个风险报告，但是我们几乎所有这些都是一起做，一年做一次。传统的做法就是发布一个报告，坦诚的来说这种报告很多人都不太会注意到，但是基本上就是一个检查清单上面每一个地方进行画勾，但是当我们给出路线图之后，这是一个在不断变化不断进步的计划，综合考虑到了现金流的状况。像IT部门还有非技术部门在大部分的北美国家当中，其实都会发现是有很明显的不透明度的，这就造成了沟通不畅，而且大部分的公司都采用的是非常零星的漏洞管理系统和非常随意的风险度量。即便他们已经花了大量的资金在IT部门的身上，但是在这方面能够做的漏洞管理是非常有限的，所以现在这个技术有时候让人们是越来越糊涂了。

　　有一个产品叫做“漏洞管理”而且可以给我们以图的方式说明我们受到了多少漏洞的攻击，有多少问题我们正在解决，有多少今年已经得到了解决，这些图能够让我们更清楚的，让非技术的董事会成员知道大概的情况，但是其实表述并不准确，所谓的准确的表述就是有80%的成功的网络袭击，他们的发生之所以会成功，就是因为他们充分的利用了现在已有的软件漏洞，让我们再重复一遍这个观点，80%的，也就是说在八千亿的损失当中有80%之所以会发生损失就是因为有黑客充分利用了我们已知的漏洞，但是这个漏洞在系统当中并没有得到有效的弥补。这导致的结果就是我们现在有自己的风险分析系统、找到了一个解决方案，所以我们能够扫描所有已知的漏洞。向你展示如何对你进行快速的修补。

　　实际上典型来说我们的修补每天都有几百个，而且我们也发现几百甚至几千个漏洞，不管是和哪个客户做都能够发现这么多的漏洞。其中一个思路，对于大部分公司来说一个思路就是，如果你雇一个著名的网络安全公司是最安全的做法，但是这个做法对于员工自己安全，但是对于公司本身并不一定是最好的。

　　如果我们看一下你的预算和你希望取得的效果，要综合考虑什么是对于你公司最好的。从历史的角度上来说大部分企业都说肯定会出现各种各样的数据侵袭，但是我们并不赞同，我们认为可以通过主动的方式实现网络安全的，当然不是一蹴而就的，但是通过很好的计划在规定的时间线内我们是可以保障数据安全的。监管部门、律师也是必要的，有的时候确实会因此受到处罚，甚至罚款，但是这是我们所必须面对的。

　　当然了，如果你说现在我们提出的解决方案能够给你带来什么样的好处呢？那就是我们给客户会提供一个五年的计划图，让他们能够建立一个非常主动的网络安全系统，有的时候可以在6个月甚至一年的时间当中见效，我们会使用网络评分，改善网络风险保险计划，而且我们也改善了在技术部门和董事会之间的沟通。技术部门有的时候感觉，当你来指出一个问题的时候其实你指的就会让他们没面子，觉得很丢人，但是这并不是我们的目标，因为每个人都会在工作当中有这样那样的疏忽，我们希望实现的就是让领导层能够知道现在存在的问题有哪些

　　最后稍微跟大家谈谈区块链，区块链本身并不能够保证安全，不管说区块链当中的从业人员跟你说什么，可以说区块链它是一项重要的技术，可能改变我们的游戏规则，但是它也需要一整套完整生态系统，而网络安全是保障这个生态系统当中重要的一环。在区块链当中的这些字符或者代码它其实是有赖于数据的，特别是在大数据中的数据，这些数据必须要安全得到保障的，请大家记得网络安全归根到底就是保障数据安全，而且其实现在有人夸大了区块链的作用，其中一个就是关于数据存储因为通过区块链存储数据，成本是比较高的，像1GB的数据可以通过雷电，它存储的是10美元的成本，但是如果这个数据是在比特币的大区块链上面，可能造成的成本是2000万美元，对于区块链它的问题就在于它有可拓展性的问题，但是这个问题还没有得到解决，这也就说明我们要更好的对数据进行管理。

　　最后，区块链它能够给我们外汇带来更好的可能，而大数据或者说移动技术、云技术、人工智能甚至是宏观经济问题，像今天早上我们讨论到的，他们可以汇聚到一起帮助我们更好的解决问题。

　　最后总结一下网络安全的道路是一个治理工具，也是在长期需要使用的趋势，我们和监管机构的沟通还有和董事会、IT部门之间的沟通，其实在未来都还有改善的空间，如果说有一个很好的网络风险评估的工具的话，这些进步并不难实现。

　　新浪声明：所有会议实录均为现场速记整理，未经演讲者审阅，新浪网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

责任编辑：谢长杉