|
去年夏天,亚特兰大市的内部审计人员警告政府,如果他们的IT系统不能立即修复的话,将很容易遭受破坏。据媒体报道,这份审计报告直截了当,指出由于资源(包括工具和人员)的缺乏IT系统无法应对“数以千计的漏洞”,并将这种情况描述为“风险暴露处于可以预防的显著水平”。 显然,这座城市开始实施了某些安全措施,然而这些安全措施来得太少、太迟,以致成为又一个无可挽回的典型例子。一场蠕虫病毒的攻击——本质上是数字勒索——破坏了城市的计算机网络,并使许多部门几乎陷入了纸笔的黑暗时代。这次入侵甚至关闭了亚特兰大国际机场的Wi-Fi服务。幸运的是,诸如紧急救援人员(以及在全国最繁忙机场的航班) 的支持等关键服务没有受到影响。 这是一个典型的勒索病毒攻击的例子。近年来,这种破坏性现象遍及全球,面对内部审计人员的严重警告,城市的管理者的回应按说也应该是教科书式的。然而实际总是这么残酷。 那么,究竟发生了什么事?使得亚特兰大市即使面临如此严重的警告,仍未能实施内部审计建议的控制措施来强化其系统?  原因尽管纷繁复杂,但每一点都指向了对风险管理中三道防线模型的践踏。该模型要求,管理层即第一道防线,应该通过维护和执行有效的内部控制来控制和管理风险,这些内部控制措施则包括内部审计针对过程和控制缺陷所指出的纠正措施。 第二道防线,包含风险与合规功能。虽然这些职能因行业而异,进而影响了他们确切职责的性质,但从一般而言,它们支撑第一道防线,帮助构建或监视第一道防线。 正所周知,第三道防线是内部审计,它为管理机构和高级管理人员提供了对治理、风险管理和内部控制的有效性的全面保证,也提供解决漏洞的建议。当且仅当三道防线都发挥作用而且管理层认真倾听第三道防线时,这才是一个有效的模型。 在亚特兰大的案例中,管理层未能及时处理内部审计所提出的建议,致使模型失效。诚然,内部审计有时也未能将有价值而重要的建议传达给管理层,从而导致管理层的角色困难。这时,内部审计应遵循关键风险优先报告原则,并在流程的早期获得管理层的认同。 这就是为什么我们内部审计行业必须做一些必要--几乎是不可避免--的事情的原因。让管理层了解这些风险的大小,认可我们的建议,并让他们行动起来。 当网络攻击的频率和影响持续上升时,组织的行动能力就变得更加重要。就在上周,我们了解到,在安德玛公司(Under Armour) 约有1.5亿减肥宝(MyFitnessPal)应用程序的用户数据被盗。钓鱼邮件被广泛认为是病毒的一种常见传播工具,然而一些公司却没有对员工进行培训,让他们知道该如何寻找,以及如何应对可疑信息。 许多公司知道,黑客不断地发现和利用软件漏洞,因此软件开发人员一旦发现新的“漏洞”,就会发布补丁。然而,补丁并不总是被打上。密码被认为是打开数据泄露的大门(根据威瑞森公司2017年的数据泄露调查报告,80%的黑客入侵行为都是利用被盗的、弱的或可猜测的密码),然而一些组织却未能建立起一个需要频繁更换的、强密码的政策。 我们很容易就会假定,黑客攻击只是发生在其他人身上的事情(“我们太微不足道了,难以引起黑客的注意”,“我们没有任何值得偷窃的信息。”),但那是典型的“把头埋在沙地里的”鸵鸟思维。事实上,任何有数据的组织都处于危险之中,除了那些小的、置身于孤立海岛上的、找到了远离网络途径的机构。 不到一年前,在那次大规模的网络攻击席卷全球的计算机网络之后,我写了一篇题为《组织的网络文化是否使你想要去做审计?》的博客文章。我写道:“对我来说,这样的攻击继续取得成功是不可思议的。”这些天来,当控制弱点被揭示时,网络攻击的预期应持续处于监测之中,内部审计的建议应该被倾听并立即予以注意。 亚特兰大的经验教训 当亚特兰大的雇员正在努力纠正这种糟糕状况时,我们至少应当从他们的经验中吸取以下教训: 1 在组织中建立一个深度防御的模型。确保每个人都知道自己的职责并遵守。 2 为内部审计和信息安全团队提供专业的安全知识或雇佣优秀人才,及时响应他们的关注点和他们所建议的缓解措施。 3 应用基本的安全措施,如打补丁、密码强化、数据加密和多因素身份验证。 4 教导员工如何识别和回应黑客攻击。 那些缺乏警告或防御机制的组织,将面临着巨大的风险。这尚不包括网络犯罪。 一如既往,我期待您的真知灼见。 本文源自2018年4月2日IIA官网 作者:理查德·钱伯斯 |
|
|
