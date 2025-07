为互联网引入问责制

作为领导者,我们必须承担责任。

在当今世界,选择承担责任是领导者的重要标志。问责制是大胆的举动,它可以驱动创新。问责制可以作为催化剂,推动解决看似棘手的问题所需的变革。

作为行业领导者,我们有责任保护自己组织的专有和敏感信息,员工的数字和身体健康以及客户、供应商等业务合作伙伴的声誉。我们有责任与客户和利益相关者建立信任关系。我们有责任交付成果。我们有责任在财务限制范围内工作。当发生事故时,我们将被追究责任。

在当今技术飞速发展的时代,对网络安全负责意味着承诺遏制事故可能带来的损害。这也意味着强调沟通和同理心,并努力改变作为网络犯罪分子的经济学——因为被抓到的 机会不大,网络仍然是一门好生意。

不幸的是,网络安全末日叙事已经深深地根植在我们的思维中。因此,许多领导者失去了采取行动的勇气。尽管全球用于安全解决方案的支出高达数十亿美元,我们仍处于一种危险境地。黑客玩井字游戏、破坏网站、窃取密码和信用卡号码的时代已经基本过去。如今,网络攻击与极端天气事件、核战争前景以及人类被 AI 取代等问题一样,成为了我们时代的重大挑战之一。

以下是我基于个人经验提出的一些建议,以改变您的思维方式并更负责地缓解损害。

拒绝常见信念:如果我们想要防止损害,那么我们就必须拒绝一些关于攻击的常见信念。特别是,我们应该拒绝认为出现灾难性结果只是时间问题的想法。我们还应该放弃认为攻击者具有最终的、长期的优势的观念。我们还应该摒弃这样一种信念,即损害的总成本等同于影响的严重程度——针对某个市政府的 10 万美元攻击影响可能超过对一家大型企业的 1 亿美元攻击。我们必须采取有条理和科学的方式,避免 对科学的盲目崇拜 ,后者通过曲解因果关系而导致错误的主张和结论。

投资于有效的解决方案:同时,我们需要利用安全解决方案市场的经济力量。您不会为不能开出车场的汽车或未获得的餐食付款,同样,您也不应该为无效的网络安全付费。网络安全市场的平衡需要恢复,以便打造出最佳产品的公司能够获得成功。

坚持从供应商那里获取性能指标:如何知道网络安全解决方案是否有效?您需要可量化的证据。进行投资之前,坚持要求供应商提供性能指标。在投资之后,定期检查指标以确保该解决方案继续兑现供应商的承诺。

关注根本原因,而非症状:安全团队今天面临的最大挑战是什么?许多团队无法就一个重点关注领域达成一致。如果内部没有达成一致意见,无论您购买什么安全解决方案,都将难以有效地对抗或预防网络威胁。太多的安全团队采取了碎片化的方法。相反,他们需要协调、全面的战略,关注攻击的根本原因,而不是症状。例如,对于关于恶意软件附件的担忧,最好的解决方法是杜绝传递机制——电子邮件钓鱼。

实现责任制

今天的网络安全需要转变范式。团队需要实施一种全面的、基于价值的安全方法。他们还需要让合作伙伴和供应商承担责任。因为对网络安全解决方案的有效性感到日益悲观本身并不是解决方案。

