网络攻击:一个行业反击

好消息技术已经把商业带到一个新的水平。坏消息是,黑客、恐怖分子和海盗的猖獗威胁着新经济中的商业。

位于密歇根州米德兰(Midland)的陶氏化学公司(Dow Chemical Co.)副总裁兼首席信息长开普勒(David Kepler)如是说。他在10月于休斯顿举行的ISA展会上发表了开幕主题演讲。一群人听了开普勒的演讲,“即插即用和连接”,在演讲中,他谈到了技术的进步、安全计算和安全行为。

开普勒说,技术的两个基本定律——摩尔定律和梅特卡夫定律——至今仍然存在。根据摩尔定律,芯片功率每18个月就会翻一番。我们的互联网世界继续支持梅特卡夫定律,即网络的价值与连接到它的设备数量的平方成正比。

失踪的法律

然而,这两个原则推动了第三个法则的需要——意外后果法则。开普勒认为,第三定律是关于平衡采用技术的好处和使用技术可能带来的意想不到的后果。当继续前进的风险大于如果控制到位所产生的潜在损失时,“意外后果”的确切点就出现了。换句话说,通过适当的控制来限制技术的使用,可能比不受约束地使用它所带来的意想不到的后果要好。有了互联网,后果可能包括病毒攻击、盗版和网络恐怖主义。

为了支持他的理论,开普勒引用了这些意外后果造成的经济损失。根据总部位于伦敦的数字风险评估公司mi2g (www.mi2g.com)的一份报告,2003年8月,全球网络攻击造成的经济损失为328亿美元,其中297亿美元是由Sobig病毒造成的。在美国,23%的商业软件是未授权的,技术盗版每年造成130亿美元的损失。

在降低风险方面,开普勒建议信息技术行业可以从化学行业吸取一些教训。

化工行业的风险缓解从产品开发、制造和分销,一直延伸到化学品最终在社会上的使用。在制造业风险方面,陶氏已将伤病率从1994年的基线水平降低了75%。它通过运用操作规程、新技术和信息共享来做到这一点。

网络安全需要同样的方法。开普勒建议采取以下步骤来确保计算的安全:

*在应用安全访问时要考虑周全

*供应商需要对自己的安全负责

*每个行业、公司和专业人士都必须了解网络安全威胁和行业之间的相互依赖关系

*行业必须认识到,物理和网络安全延伸到可靠性、卓越的运营和财务表现。

股票的解决方案

化工行业已经建立了化工行业网络安全计划(www.chemicalcybersecurity.com)和信息共享论坛,以具有成本效益的方式获取降低风险的当前最佳实践。该论坛由来自10个行业协会的代表组成,包括美国化学理事会和全国化学分销商协会,它们共同代表了化工行业的2000多家公司。

该计划重点关注以下五个举措,以加强化工行业的网络安全:

*促进整个行业的参与和承诺

*建立网络安全公共事务计划

*建立基于风险的行业实践和标准

*建立信息共享网络

*鼓励加速改进网络安全技术。

你会做什么?开普勒提出了这样的建议:“制造商需要促进IT、制造和研发之间更好的合作;他们需要评估和定义他们的系统和固有风险;他们需要支持行业网络安全标准的发展。”

更好地控制