公司主管要知道的七个网络犯罪真相

　　一遭到攻击，迅速解决是降低经济损失的关键。

　　据这个基准调查样本显示，要是不迅速解决，网络攻击造成的经济损失还要大。该报告显示，解决网络攻击平均需要14天;而企业蒙受的经济损失每天高达17696美元!想想这样的经济损失给贵公司的利润会带来怎样的影响?

　　调查显示，要解决恶意内部攻击，需要长达42天或更久。这样的代价表明，面对如今的复杂攻击，需要迅速解决。虽然这项研究没有提到名誉受损(也就是成为新闻头条的风险)造成的高昂经济损失，但你的确需要考虑到这点。比如说，除了面临官司和经济惩罚外，要是贵公司被发现违反了更严格的个人身份信息(PII)保护法，比如加利福尼亚州、马萨诸塞州或欧盟的相关法律，会面临什么样的后果?

　　企业因失窃而丢失信息带来的外部经济损失最高，其次是与企业运营受到中断有关的经济损失。

　　报告还提到，就一年而言，信息失窃占了外部经济损失总额的42%。与业务受到中断或生产力下降有关的经济损失占了外部经济损失的22%。报告随后还表示，公司规模变得越大，它们面临的潜在风险也会变得越高。伴随这些经济损失而来的是，因负面新闻和客户/股东信心下降这"二次灾难"所造成的费用和名誉受损。这时候，一项完备的、事先规划的危机沟通计划真的有助于力挽狂澜。

　　察觉事件/泄密以及之后恢复如初是成本最高的内部活动。这还意味着，这些方面的投入可能是最容易被忽视的方面，由于这方面所需的成本比较高。不妨了解一下事实真相：如果没有实际投入资金，或者投入很少，而高层主管又没有抽时间用在风险管理上，或者所抽的时间很少，那么你拥有的只是另一项名存实亡、形同虚设的计划。一旦酿成严重后果，只好听天由命了。现在我们开始听到另一个花招：一些公司在耍这个花招，避开积极承担应有关注(due care)这个责任的要求。虽然一些公司在为企业风险管理以及/或者信息安全"编制预算"，但从来没有实际投入这笔钱。要不就是，一些公司声称自己在继续研究更新的技术，但不是研究数周或数年，而是研究过程长达数年!一些监管部门和保险公司注意到了这点，要是安全事件是因投保人疏忽而引起的，甚至还会指控欺诈罪名或者拒绝理赔。

　　所有垂直行业都很容易出现网络犯罪活动。

　　这份报告表明，网络犯罪的年均成本似乎大不一样，具体取决于所在的行业领域;国防、能源和金融服务行业的公司蒙受的经济损失高于零售、服务和教育行业的公司。不过，所有垂直行业都受到了不利影响，而且越来越频繁地受影响。

　　在过去的五年间，越来越多上报的企业灾难并不是天灾造成的。而是许多公司有意承担风险(不管是不是被动)造成的，而有些风险显然是不应该承担的。保险公司注意到了这点。它们在发放保单和进行理赔之前，越来越多地要求投保人进一步证明给予了应有关注，并进行了尽职调查。政府现在也注意到了这点!

　　有消息称，联邦政府可能很快会进一步就私营行业的风险管理发表观点，特别是由于风险管理与IT密切相关。这里的前提是，如今IT被广泛认为是现代高度互联的经济体中关键任务基础设施的一个组成部分;而非政府实体在自愿遵守得到公认的风险管理实践方面做得差强人意。目前正在积极讨论的是更加严格的安全框架，比如支付卡行业数据安全标准(PCI-DSS)，可能作为所有公司(有一定规模/收入额)在"应有关注"方面新的最低标准。

　　所以，下次贵公司考虑预算方面的事宜时，也许应该至少鼓励你的IT部门考虑专门为此拨出一些额外资金--起码用于全面评估整个企业的安全状况。只要花比较少的费用，就可以对现有的工作人员进行培训，甚至让其获得认证，熟悉如何进行全面的评估。不过有个问题要注意。与客观独立的第三方机构相比，现有的内部人员常常有点疲惫不堪，评估时不大客观公正。

　　理想情况下，公司应该定期进行内部评估，并着眼于收集和分析企业内部的评估结果。接下来的一步是，聘请有资质的外部机构来进行类似范围的另一番评估，确保能够准确地了解情况。外部机构还能提供独立的专长，以确定风险管理和IT安全投资方面的主次之分。这样一来，贵企业就可以更准确地了解自己的处境，需要怎样投入，确保贵公司没有在乱冒险，免得因安全事件而登上头条，以及/或者可能给这个国家增添安全漏洞。