网络信息共享对我们集体防御的商业必要性

合作 全球弹性联合会合作打击网络犯罪 网络信息共享对我们集体防御的商业必要性 COMMUNITyPPERNOVEMBEr2022 封面：MarsYu，GettyImages–内部：GettyImages 内容 3前言 4执行概要 5介绍 61使信息共享成为最高管理层的特权 82管理合规和监管问题 103在实践层面上定义“共享” 13结论 14贡献者 免责声明 本文件由世界经济论坛发布，作为对项目、见解领域或互动的贡献。本文所表达的调查结果、解释和结论是世界经济论坛推动和认可的合作过程的结果 ，但其结果不一定代表世界经济论坛的观点，也不一定代表其全体成员、合作伙伴或其他利益相关者的观点。 ©2022年世界经济论坛。保留所有权利。不得以任何形式或任何方式（包括影印和录音）或任何信息存储和检索系统复制或传播本出版物的任何部分。 2022年11月 网络信息共享对我们集体防御的商业必要性 前言 查尔斯·布劳纳全球复原力联合会特别顾问 麦克丹尼尔 网络威胁联盟总裁兼首席执行官 杰里米·尤尔根斯世界经济论坛董事总经理 为什么我们还在谈论网络威胁信息共享？这不是一个有争议的话题。网络安全专业人员几乎普遍支持增加信息共享。数十份报告都支持这一概念，政府政策也促进了这一概念。整个组织的存在都是为了实现它。事实上，关于信息共享的共识以其一致性和持久性而著称。然而，尽管达成了这一共识，但网络威胁信息的水平 分享仍然不够。Cleary，如果每个人都同意我们应该做某事，但许多组织没有，我们需要更仔细地检查行动的障碍。最重要的是，我们需要以不同的方式思考这个话题。 这篇题为“网络信息共享对我们集体防御的商业要求”的论文提供了这种替代视角。至关重要的是，它没有提出基于利他主义或爱国主义或技术理由的信息共享的理由-增加共享的传统论据。相反，它基于经济学提出理由。在当今世界，如果企业想要蓬勃发展（甚至生存），那么它必须成功管理其网络风险。反过来，有效的风险管理需要网络威胁信息共享。通过将信息共享与业务要求联系起来，本文使用的语言 企业领导者了解并定期采取行动。 当然，法律问题、文化障碍和不明确的投资回报仍然会阻碍共享，即使商业领袖认识到这一点势在必行。 本文也讨论了这些问题。它提出了一种克服共享障碍的实用三步方法，重点关注使共享变得实用和可接受的组织结构。遵循该文件的框架将使企业能够改变他们的行为，并将他们的分享提高到有意义的水平。 企业需要采用该文件的框架，因为在组织层面增加信息共享会在整个数字生态系统中产生乘数效应。例如，几个组织通过 世界经济论坛网络安全中心支持一个名为“网络犯罪地图集”的项目 。这项工作结合了来自不同来源的信息，以更好地了解网络犯罪生态系统，从恶意软件开发到分销网络再到资金流动。从共享信息中获得的不同“地图”或视图将使更有效的破坏成为可能 恶意网络犯罪活动。如果没有来自多个来源的基础共享信息 ，就不可能进行项目的分析。 信息共享绝非易事。它始终需要持续的资源、承诺和支持。然而，一旦企业养成这种习惯，一旦这种做法成为常态，我们就会想知道任何人是如何以其他方式运作的。然后，我们终于可以开始有效地管理我们的网络风险-并停止谈论网络威胁信息共享。 执行概要 真正的信息共享是缩小攻击者和攻击者之间差距的基础 捍卫者，因此必须使其成为现实。 为了确保适当的网络安全水平，公共和私营部门之间的合作绝对至关重要。信息共享和分析中心为这种合作创造了一个平台，分享有关根本原因、事件和威胁的信息，以及分享经验、知识和分析。 欧盟机构网络安全 网络信息共享对集体防御的商业必要性4 本文简要讨论了缩小攻击者-防御者差距的三个关键步骤： 1.使信息共享成为管理层的特权 2.合规管理和监管问题 3.在实践层面上定义“共享” 这三个步骤必须协同实施，以实现真正富有成效的信息共享，但鉴于攻击速度惊人地加快，而且相比之下，维护者的进展相对停滞，这是一项值得的努力。 此外，本文还提供了以下理解，作为信息共享案例的基础： 今天的网络威胁已经升级到可能对公司构成生存风险，破坏国家/全球关键基础设施并造成生命损失的地步 。 –企业要想有机会成功地自卫，就必须接受并采用集体防卫的理念。网络信息共享是任何集体防御战略的核心。 –信息共享并不新鲜，而且显然不是一个竞争问题 。 –针对实际和感知的监管和隐私挑战存在法律流程和新兴技术解决方案。 –实现真正的网络信息共享是一项业务特权，与任何业务优先事项一样，成功需要最高管理层的积极支持和参与 。 介绍 为了有机会成功地自卫，企业必须接受并采用集体防御的哲学。网络信息共享是任何集体防御战略的核心 。 1998年春天，美国总统克林顿政府对敌对网络活动的上升趋势以及这种活动损害美国关键基础设施的可能性感到担忧。作为回应，白宫发布了第63号总统决定指令：关键基础设施保护。时任财政部长罗伯特·鲁宾（RobertRubin）召集了主要金融机构的首席信息安全官（CISO）到华盛顿，讨论行 业应对措施。 该行业的工作得出了一个关键结论：传统上是商业竞争对手的公司需要将他们对竞争的理解转向行业与犯罪组织和民族国家行为者的观点。由于犯罪组织是复杂和高度的 合作，采取集体防御的观点是最有效的姿态。网络信息共享是这种防御的核心。随着这一认识，美国金融服务信息共享和分析中心（FS-ISAC）诞生了。 ISAC的想法在许多方面取得了巨大的成功。FS-ISAC有数千家银行共享信息，使它们更安全，更有弹性。其他部门也从信息中受益。2014年，FS-ISAC成立了部门服务部门，支持基于FS-ISAC模型的共享组织的发展。该部门帮助在法律、能源、零售和其他领域建立了社区。它最终衍生出来成为 非营利性全球复原力联合会，现在管理和支持17个共享社区 。在国际上，信息共享和分析中心（ISAC）或其类似机构现在可以在世界各地找到，独立工作或在政府支持下工作。由于他们的努力，成员公司现在比以往任何时候都更好地准备了自卫。但与此同时，行业面临的风险水平从未如此之高。自第一个ISAC创建以来的二十年中，挑战变得非常严峻。 世界对通过互联网实时提供的服务的集体依赖使关键操作流程暴露在全新的攻击媒介之下，在许多情况下，恶意行为者的能力已经超过了防御者的能力。此外，这些参与者采用了许多民族国家风格的技术，并为攻击工具创建了高度发达的协作市场。由于技能短缺和缺乏合作，防御者一直处于人手不足的状态，技术变革的步伐加快加剧了这种弱势地位。 通过使信息共享成为领导优先事项的一部分，通过理解和响应合规性和监管问题，并通过在实际层面上更明确地定义共享的含义 ，实现以信息为主导的方法 网络安全成为可实现和必要的商业特权。 为了防止网络犯罪并减少其对个人和企业的影响，公私合作至关重要。从报告转向公司和公共机构之间的真实信息和数据共享是识别和了解威胁并采取行动应对威胁的唯一途径。国际刑警组织的项目门户为私营实体提供了一个法律框架，以便与本组织分享信息和合作。在国际刑警组织独特的全球平台和一系列工具的支持下，这将能够加强数据和威胁分析的汇总，并导致更有针对性和更有效的行动。 于尔根·斯托克，国际刑事警察组织（刑警组织）秘书长 1 使信息共享成为管理层的特权 网络安全不能仅仅作为一个技术问题来解决，必须作为一个重大的业务风险来管理。 在2015年金融服务圆桌会议上，美国最大的综合金融服务公司参加了银行首席执行官讨论其公司和行业的系统性风险。他们一致认为，网络事件可能对运营弹性产生的影响是最大的风险。网络攻击破坏关键运营，使银行、其客户和全球金融体系面临风险的可能性是巨大的，而且在不断增长。首席执行官们承认了三个关键事实： 1.对手变得越来越老练，并且高度协作。 2.尽管进行了大量投资，但银行却远远落后了。 3.这意味着现状是不可接受的。 银行之间需要更高水平的合作和集体防御，也需要与政府和其他关键部门进行真正的接触，以保护其公司和全球金融体系。 首席执行官们不只是谈论这个问题;他们亲自与政府官员接触，并将他们的资金和工作人员用于补救措施， 共同资助创建美国金融系统分析和弹性中心（FSARC），即现在的分析与弹性中心（ARC）。 与网络攻击相关的挑战以及此类事件引起的金融欺诈比任何一个机构都要大，这是金融部门必须共同面对的问题。当我们共同努力了解网络对手不断变化的战术并深化对此类攻击的防御层时，我们会更强大、更有弹性。 BillNelson，FS-ISAC总裁兼首席执行官（2006-2018） 在过去几年中，全球复杂的网络事件显着增加，从 SolarWinds和ColonialPipeline攻击到无数的勒索软件事件 。虽然这些事件的各个方面并不新鲜（数据披露、盗窃资金），但它们的规模和升级提高了各个经济部门的企业领导者、媒体成员和政府官员对网络安全和运营弹性的关注 。 网络威胁增加的一线希望是，人们越来越认识到糟糕的网络日可能会对公司构成生存威胁。 网络安全不能仅仅作为一个技术问题来解决，必须作为一个重大的业务风险来管理。这一认识放大了管理团队和董事会的关注。 这种日益关注和集体脆弱性的结合为首席信息安全官提供了一个机会，让他们的最高管理层寻求他们的积极支持，以加强协作，更好地防御和保护 组织抵御这些威胁，并提高集体生态系统的安全性和弹性。 首席信息安全官可以采取的一项具体行动是，为其最高管理层和董事会安排一次网络威胁信息简报会，并与其相关执法机构/政府机构会面。拜登总统2021年5月12日关于改善国家网络安全的行政命令首先需要更好的网络信息共享。 欧盟网络安全局（ENISA）在其网站上表示，“NIS指令和网络安全法等欧洲立法促进了欧盟内部部门ISAC和公私伙伴关系的建立”。欧盟的《数字运营弹性法案》还提议专门制定信息和情报共享协议。 私营部门应推动参与信息协作。这在竞争驱动的企业中似乎不自然，但历史 已经证明网络安全既不是竞争问题也不是反竞争问题。共同成功需要愿意共同努力。为了保护企业、客户和生态系统，必须积极关注业务合作，以分享观察结果、经验教训、最佳做法和情报。 因此，当公司领导者将分享作为真正的优先事项时，它就有机会成功。相比之下，如果没有高层的持续支持，信息共享工作往往会萎缩。有效的分享需要持续的支持;首席执行官和其他公司高级官员必须将网络威胁信息共享作为持续优先事项，才能使其具有影响力和可持续性。 网络信息共享对我们集体防御的商业必要性7 有必要建立一个信任和沟通平台，以促进部门和企业之间的信息共享，以便与其他利益相关者分享可操作的见解，以提高态势感知能力，并及时检测和应对网络威胁。 网络安全机构的新加坡 合规管理和监管问题 共享商定的信息对公司来说肯定是利大于弊。 尽管分享很重要，但公共部门和私营部门的行动都不够迅速 。阻碍进展的因素有哪些？一是可能难以从竞争视角转向集体视角;保护公司信息根深蒂固，以至于共享似乎与良好的商业实践背道而驰。然而，在适当的最高管理层的支持下，这一障碍是可以克服的。 提出的其他障碍通常涉及对知识产权和专有信息的保护，以及共享的法律/监管/合规障碍。然而，组织可以解决机密性问题，并通过未经试验和测试的共享协议来平衡专有信息的保护，这些协议不需要企业泄露敏感材料。 鉴于这些挑战，首席信息安全官必须与其法律和合规合作伙伴合作，帮助他们的组织克服障碍并改善信息共享。 法律顾问可以与首席信息安全官合作，在以下关键领域共享网络信息： 定义条款和条件 在没有关于网络安全信息共享的政府指令的情况下，在签订合作协议时由公司法律部门确定“条款和条件”。其中一些权利和义务可能包括： –确保信息共享规则考虑到数据驻留和跨境问题 –通过使用保密协议保护机密性 –遵守现有的监管要求 –定义谁接收数据以及允许他们使用数据做什么 –确定提供跨公司数据的最安全方式 共享的信息类型对于抵消此问题至关重要。如果