美国网络安全官员称企业应将网络威胁视为核心业务风险——《华尔街日报》

作者：凯瑟琳·斯特普2022年9月20日下午3:23（美国东部时间）|WSJ专业版网络安全与基础设施安全局执行主任布兰登·威尔士去年在华盛顿。图片来源：Pool/路透社美国网络安全与基础设施安全局高级官员表示，企业董事会应推动公司加大对网络防御的投资，并敦促管理层将黑客威胁视为核心业务风险。

该局执行主任布兰登·威尔士周二在《华尔街日报》CIO网络峰会上指出：企业面临的黑客风险与日俱增，但网络安全仍未像应有那样深入企业思维。

“这需要从董事会层面推动，”他表示，“你不该等到勒索软件攻击导致网络瘫痪后才开始考虑网络安全问题。”

威尔士称，当董事们咨询网络防御信息时，企业首席信息官联系CISA的频率正在上升。随着董事会学会评估这些防御措施，网络安全将更深入地融入美国企业。

近期，美国证券交易委员会提议要求企业披露董事会成员网络安全专业背景的详细信息，以及董事会讨论网络安全的频率。

目前，金融机构和管道等关键基础设施运营商已必须遵守政府规定的网络安全要求。但威尔士先生表示，最终多种力量的结合将推动所有上市公司投资于网络安全。他补充说，保险公司会要求企业采取特定措施和工具才能获得承保，而股东们也会提出此类要求。

“随着时间的推移，这种压力会越来越大，”他说。

威尔士先生指出，首席信息官在与董事会讨论网络安全时应解决第三方风险。他建议首席信息官采用强大多因素认证来保护企业系统，并确保所有基于云的服务都采用安全方法来验证用户身份。黑客经常通过攻破认证流程入侵企业网络，正如周一披露的优步科技公司遭攻击事件所示。

“每家企业都应考虑如何鼓励供应商提供设计安全的产品，”他表示。

致信凯瑟琳·斯塔普，邮箱：[email protected]