本地网络安全公司Hackuity东南亚地区执行总裁刘晓薇。(Hackuity提供)

公司发展业务 不可忽视网安

本地网络安全人才培养公司Red Alpha总裁陈劲豪。(Red Alpha提供)

国际咨询公司毕马威(KPMG)去年的《全球技术报告》显示,61%的企业预计在两年内采用颠覆性的新技术平台,未来三年会加大对物联网、边缘计算(edge computing)和5G的投资。随着企业对这些新技术的依赖日益增加,网安系统的重要性也变得更为重要。

譬如,新加坡网络安全局(CSA)在新加坡网络概况报告中,匿名引述了一家员工过千的本地精密工程公司,去年遭黑客勒索比特币。公司因担心客户知识产权泄露,不得不向黑客支付数十万美元的比特币。

孙云虎说,政府也可以考虑调整雇佣外籍人才的政策,特别是网安专才。此外,还可增加种子基金来提供财政支持,让经验丰富的IT人员转行或专攻网络安全。

延伸阅读

Cato Networks产品营销总监里布斯说,人才短缺会迫使公司管理层选择与第三方服务伙伴合作。他预计,企业外包网安服务的趋势将增加,这为第三方安全供应商提供了更多市场机会。

近几年,全球网络安全事件屡见不鲜,涉及行业广泛。出现网安事件的企业数不胜数,包括科技业巨擘台积电和脸书,以及新加坡的华侨银行和新电信。

去年11月,脸书因泄露超过5亿用户的数据,爱尔兰数据保护委员会(Data Protection Commission,简称DPC)对它的母公司Meta处以2亿6500万欧元(约3亿8700万新元)的罚款。此后,晶片巨头台积电和电动车商蔚来汽车遭黑客勒索,要它们分别以7000万美元(约9554万新元)和225万美元来换取被窃取的资料。

网安市场全球规模 2027年料逾3388亿美元

普华永道(PwC)新加坡科技风险管理合伙人孙云虎指出,新加坡在网安生态系统中也发挥着重要作用。这不仅体现在研究和创新能力上,本地在制定网安标准和框架方面也具优势,如金融服务部门的数据安全等领域。

新加坡公司也未能幸免,像2021年底,790名华侨银行客户坠入钓鱼短信骗局,被骗走高达1370万元。之后,新电信因子公司澳都斯 (Optus)遭黑客攻击,导致近1000万名用户个资外泄。

普华永道新加坡科技风险管理合伙人孙云虎。(普华永道提供)

就网安市场主要供应商而言,里布斯介绍说,网安行业主要参与者包括Cato Networks、派拓网络(Palo Alto Networks)和思科。这些供应商在所有垂直行业中都有很强的影响力,包括制造业、医疗保健、零售业、酒店业等。

公司丢失数据或被罚一成总收入

对于受到网络侵害的企业和个人,王佩晶说,受害人应立即保护受影响的IT基础设施。同时,尽快聘请一个调查小组确定攻击源。

Cato Networks产品营销总监里布斯(Demetris Booth)里布斯指出,从需求角度来看,刚起步的数码公司更容易受到网络威胁。勒索软件对中小企业是一个巨大威胁,而对大型企业则可能影响有限。

如果攻击源来自内部,则应立即限制犯罪者的访问权限,并扣押犯罪设备以进一步进行取证调查。如果是外部犯罪者或犯罪设备是个人财产,则可能需要先获得法院搜查令等必要文件,然后再根据情形来提出相应的刑事或民事诉讼。

李斯衍则建议,企业可考虑使用搜索网络威胁(cyber threat hunting)等技术来执行重复的网安任务,从而缓解一部分人力不足的问题。此外,教育部门可与网安业者合作,设计更多课程来提高员工的数码技能。

Cloudflare调查报告也显示,81%的新加坡受访者在过去12个月里遇过网安事件,高于亚太区域平均的78%。然而, 只有27%的新加坡受访者做好了防范,低于亚太地区38%的平均水平。

另一方面,全球经济逆风导致不少公司纷纷被迫缩减网安经费,影响了它们对网安事件的准备。

随着中小企业数码化普及、收集和使用个人数据的增加,PDPC团队携手资讯通信媒体发展局(IMDA)制定了资料保护基本能力(Data Protection Essentials,简称DPE)计划,帮助中小企业抵御网络攻击并使受影响的企业迅速修复。

网安局的报告显示,业者和个人可通过电脑紧急反应组(SingCERT)向当局通报网络袭击案件,由网络事故应变中心进行网络袭击的探测、化解和防范。在国内,SingCERT提供网络安全警示、建议和事件处理指南。在国外,SingCERT也与其他国家的CERT合作,共享信息。

思科亚细安网络安全业务总监符元发。(思科亚提供)
Cloudflare亚太地区副总裁兼董事总经理迪克森。(Cloudflare提供)

国际信息系统安全认证联盟(ISC2)的2022年网络安全人力市场研究(Cybersecurity Workforce Study)显示,本地网络安全人力缺口超过6000多人,全球缺口则超过300万人。

麦肯锡调查了500名网安产品买家并采访了50家市场领先供应商后发现,到了2025年,网安产品客户在这类产品和服务上的支出将以每年13%的速度增长。这个市场的增长,尤其是网安服务的快速增长,有显著的中小企业需求这为供应商提供了巨大商机。

Cloudflare调查报告指出,这些网安问题不仅让39%的企业暂停业务、推迟发展计划和减少远程工作安排,还对46%的企业造成至少200万美元(约270万新元)的财务影响。此外,受访者还损失了重要数据和知识产权,以及遭到声誉受损、客户流失等诸多问题。

人才短缺是网安领域最大挑战

另一家律师事务所则在遭遇黑客入侵后,黑客以律师行名义发出诈骗电邮,要求客户提供银行信息。结果,上当的客户损失10多万元,同时造成律师行客户流失。

陈劲豪指出,企业的首席信息安全官必须让管理层相信,网安是公司业务发展不可忽视的重要因素。当网络攻击事件导致公司丢失数据或业务中断,公司将面临客户流失和声誉受损等多重风险。

Cato Networks产品营销总监里布斯。(Cato Networks提供)

思科(Cisco)亚细安网络安全业务总监符元发说,人才短缺的现状,给网安行业培养下一代网安专才提供了机会。思科网络学院已与工艺教育学院等超过22个教育机构合作,为学生提供技能培训。学院承诺,到2032年将在亚太区域再培训670万名数码和网安人才。

网络安全公司Cloudflare日前调查了来自14个市场的4000多名企业网安负责人。报告显示,在新加坡,遇到网安事件最多的部门分别是政府部门、旅游、酒店及服务业、商业和专业服务。在所有领域当中,有48%受访者在过去12个月遭遇的网络安全事件超过了10起。

本地网安公司Hackuity东南亚地区执行总裁刘晓薇说,网安已成为世界主要经济市场之一,且不断增长。同时,许多新进入的公司又给这个领域带来了创新,他们共同制定网络安全战略,携手应对不断变化的网络安全风险。

今年公布的《网络安全全球市场报告》指出,目前新加坡网络安全行业规模近20亿美元(约27亿新元),而全球市场规模为2237亿美元。预计到了2027年,全球网安市场将达3388亿4000万美元,今年至2027年的复合年增长率为10.9%。管理咨询公司麦肯锡(McKinsey & Company)更预测,潜在网安市场规模到了2030年,有望增长到1万5000亿至2万亿美元,几乎是当前的九倍。

毕马威网络事务咨询合伙人李斯衍接受《联合早报》采访时指出,当前网络安全现状带来的机遇包括托管安全服务(managed security service)的需求增加、人员培训的需求增加、网络安全测试和防护的需求增加等。

此外,企业也可寻求法律援助。义正律师事务所合伙人王佩晶受访时说,近几年,她受理的数据泄露相关案例越来越多。例如,客户可能会起诉软件更新时无意中丢失数据的供应商。大型企业也会通过法律途径,来减少网安事件对企业造成的损害,让肇事者承担责任,并把对公司声誉的影响降到最低。

正因为全球和新加坡企业都面对网安挑战,这个行业也蕴藏着无限商机。

网安生态系统中我国发挥重要作用

国际咨询公司毕马威网络事务咨询合伙人李斯衍。(毕马威提供)

陈劲豪说,市场对网络安全解决方案和服务的需求一直保持强劲。不过,人工智能和金融科技等领域对IT人才同样有很大需求,致使网安领域的人才持续短缺。

上述案件只是冰山一角,受到网络攻击的公司比比皆是。

企业可寻求支援 支持自身网安工作

互联网就像阿拉丁神灯,能使人一夜成名或足不出户就学富五车;能让公司市值短期内增长数倍,但它同样也能让人瞬间千金散尽,以及名誉受损。借助互联网而取得成功的例子不尽相同,但因互联网失败往往都归因于网络安全。本期《悉看大势》将探讨网络安全的现状及发展机遇。

义正律师事务所合伙人王佩晶。(义正律师事务所提供)

此外,政府也对不重视网络安全的公司给予相应惩罚。新加坡网络安全局(CSA)去年一份报告显示,自个人资料保护法令(PDPA)2020年修改后,企业在使用客户数据时,必须确保客户个人数据的安全。一旦发生大规模资料泄露或泄露的资料会对个人造成重大伤害,企业须及时向个人资料保护委员会(PDPC)报告并通知客户。

本地网安人才培养公司Red Alpha总裁陈劲豪说,新加坡是亚太地区网安活动中心,研发基础和全球商业中心的地位吸引了全球知名网安公司。在网安服务和解决方案方面,新加坡拥有各类技术,可提供网络威胁情报(Cyber Threat Intelligence)、网络事故应对(Cyber Incident Response)、入侵测试(Penetration Testing)和安全咨询等服务。这些服务既适用当地企业,也适用整个地区。

Cloudflare亚太地区副总裁兼董事总经理迪克森(Jonathon Dixon)说:“要解决人才短缺问题,企业可以寻求与高等院校合作,培养并吸引下一代网络安全人才,同时通过提高现有员工技能、简化网络安全架构和优化投资企业网络安全平台等方式,更好地让员工应对不断变化的网络风险,这也有助于企业吸引和留住人才。”

李斯衍说,新加坡作为商业中心,拥有强大人才库。整个国家拥有高度互联网化的商业生态系统。因此,新加坡在提供专业服务、网安创新及政策方面具优势。新加坡政府也一直在关注网安情况,并积极实施法规,以防范网络威胁。

孙云虎举例说,在PDPA法令下,丢失数据可能导致公司被罚总收入的10%。他建议,虽然公司无法阻止犯罪分子实施网络攻击,但它们可通过找出对公司业务运营至关重要的数据或高价值的信息,实施有效预防、检测和管理,以降低黑客入侵的概率和影响。

然而,Cloudflare的报告也显示,人才和资金短缺是新加坡企业在处理网安问题时面临的最大挑战,有这方面挑战的受访者分别占58%和65%。