官员警告：网络安全投资不再是可选项——《华尔街日报》

James Rundle

2022-09-21

作者：詹姆斯·兰德尔2022年9月21日上午5:30（东部时间）|WSJ专业版英国国家网络安全中心首席执行官林迪·卡梅伦表示，一些企业过于轻易支付赎金以恢复数据，这反过来助长了问题。图片来源：华尔街日报来自美国及其他国家的官员指出，监管规定、投资者要求和保险条款的综合作用正推动企业加强对网络安全的监督。

网络安全与基础设施安全局执行主任布兰登·威尔士表示，虽然能源和银行等特定基础设施行业的部分企业已必须遵守某些网络安全要求，但各行业都需要全面增加数字防御投入。

威尔士先生在周二参加华尔街日报CIO网络峰会时表示：“部分企业已必须应对这一级别的网络安全问题并展示相应投入。但我认为，随着时间的推移，这应当成为所有上市公司的标准。”

近年来针对各行业不同规模企业的一系列网络攻击事件，促使各国政府向私营部门施压，要求提升应对网络威胁的能力。官员们指出，勒索软件（黑客通过锁定数据和系统索要赎金）因其可能破坏基础设施和供应链，已成为国家安全威胁。

今年以来，美国网络安全与基础设施安全局（CISA）推动了一项名为"防护盾牌"的行动，旨在应对其所说的俄乌战争带来的日益增长的威胁，提高网络安全意识。这包括确保落实多因素认证等基本防护措施，以阻止那些不需要太高技术含量的机会主义攻击。

网络安全官员对防御不足而后遭黑客攻击的企业表现出越来越不耐烦的态度。英国国家网络安全中心首席执行官林迪·卡梅伦特别指出，在勒索软件攻击中，有些企业过于轻易地支付赎金以恢复数据，这反过来助长了问题。

“坦率地说，我认为这常常是一种逃避——很多时候是组织没有做好准备，或者实际上没有真诚地努力恢复，“卡梅伦女士本月在华盛顿特区的一次网络安全会议上表示。

在公共部门，政府被迫确保其防御措施达到标准。佛罗里达州和北卡罗来纳州今年都禁止各自的政府机构支付勒索软件赎金。

保险公司越来越多地要求网络保险的潜在购买者证明他们已经尽可能做好防范黑客的准备。网络安全能力较弱的组织面临保费上涨和保险范围受限的问题。

威尔士先生表示，客户和股东也加剧了企业对网络事件的紧张情绪。数据泄露后的集体诉讼现在很常见，对被黑客攻击的公司来说可能代价高昂。在最引人注目的事件之一中，2017年对信用评级公司Equifax Inc.的攻击导致其与州检察长和各种联邦机构达成7亿美元的和解，其中4.25亿美元用于补偿消费者。

“随着时间的推移，这种压力将会增大，”他说。

德国联邦信息安全局（BSI）局长阿尔内·舍恩博姆表示，该机构正采取更直接的方式确保关键基础设施运营商履行网络安全要求，即对企业进行审计和测试。

“我不靠信念行事，我靠事实说话。因此我们需要独立核查测试，因为我们不能仅凭信任，”他在华盛顿会议上说道。

美国网络安全与基础设施安全局的威尔士先生指出，公司董事会对企业网络安全战略具有重要监督作用，这正是美国证券交易委员会网络风险披露草案背后的理念。

这些规则要求董事会对网络安全保持一定程度的监督，并规定企业必须披露董事会成员中是否具备网络安全专家。

“这需要董事会和高管层推动落实，使其像其他风险一样成为企业文化的一部分，”威尔士表示。

**撰稿人：**詹姆斯·朗德尔，邮箱：[email protected]

本文发表于2022年9月22日印刷版，标题为《官员警告：网络安全投资不再是可选项》。

官员警告：网络安全投资不再是可选项——《华尔街日报》

推荐阅读

官方确认：新冠现在基本可视为流感。指南在此。

凯特琳·克拉克为何告别大学篮坛

特朗普乔治亚州案遭重创：范妮·威利斯为免职裁决奋力一搏

长岛南湾3英亩临水庄园挂牌1650万美元

巴菲特门徒正在寻找小型企业，如今她手握更多资金可支配

泰勒·斯威夫特亚洲巡演引发一些不快