今年7月，克萊斯勒大規(guī)模地召回140萬(wàn)輛汽車(chē)，原因并不在于配件隱患，而是車(chē)載軟件中潛藏的安全風(fēng)險(xiǎn)。

這家美國(guó)著名汽車(chē)制造商旗下的一輛Jeep自由光因被黑客遠(yuǎn)程入侵而失靈，直接從高速公路翻入一旁的溝渠里。3個(gè)月后，厄運(yùn)落到奧迪TT身上。黑客在汽車(chē)自身搭載的第三方軟件中找到漏洞，進(jìn)而一舉攻破了安全氣囊系統(tǒng)。

在各行各業(yè)爭(zhēng)相擁抱物聯(lián)網(wǎng)的時(shí)代，被捅出安全漏洞的遠(yuǎn)不止車(chē)企。2013年，網(wǎng)絡(luò)安全公司賽門(mén)鐵克的統(tǒng)計(jì)數(shù)據(jù)就顯示，全球平均3.2家制造企業(yè)中就有一家遭遇過(guò)黑客攻擊。對(duì)于普通大眾而言，小到運(yùn)動(dòng)手環(huán)，大到智能家居都可能是黑客的下手對(duì)象。原因很簡(jiǎn)單：當(dāng)人們對(duì)數(shù)字的依賴(lài)與日俱增，日常數(shù)據(jù)、信息、知識(shí)交流愈加頻繁，幾乎所有物品都可能暴露在網(wǎng)絡(luò)攻擊的危險(xiǎn)中。

根據(jù)國(guó)際數(shù)據(jù)公司IDC（International Data Corporation）預(yù)測(cè)，到2020年底會(huì)有超過(guò)2120億臺(tái)設(shè)備與互聯(lián)網(wǎng)接通，傳輸數(shù)據(jù)量將超過(guò)3千萬(wàn)兆數(shù)據(jù)。相應(yīng)地，數(shù)據(jù)盜用風(fēng)險(xiǎn)會(huì)成倍增加，并且會(huì)離百姓的日常生活越來(lái)越近。“萬(wàn)物互聯(lián)”更為致命的一大副作用在于牽一發(fā)而動(dòng)全身，某一環(huán)節(jié)的差錯(cuò)可能導(dǎo)致全盤(pán)信息統(tǒng)統(tǒng)泄露。

盡管如此，大部分企業(yè)尚未做好準(zhǔn)備。普華永道在12月8日發(fā)布的《2016年全球信息安全狀況調(diào)查》顯示，僅36%的受訪企業(yè)已做出相應(yīng)的安全策略。這一比例在中國(guó)內(nèi)地及香港企業(yè)稍高，但也只有44%。

抽樣調(diào)查結(jié)果顯示，全球每家受訪企業(yè)在過(guò)去12個(gè)月中平均監(jiān)測(cè)到6853起信息安全事件（普華永道注：任何威脅計(jì)算機(jī)安全方面的不利事件），同比增長(zhǎng)38%。中國(guó)企業(yè)的這一數(shù)字為1245起，雖然不到全球均值的1/5，但同比增幅高達(dá)517%。與之對(duì)應(yīng)的則是巨額財(cái)務(wù)損失，中國(guó)企業(yè)因此原因而造成的平均虧損額在一年之間上升了10%，達(dá)到263萬(wàn)美元。

無(wú)論在哪個(gè)行業(yè)，客戶(hù)數(shù)據(jù)、內(nèi)部信息和知識(shí)產(chǎn)權(quán)成為網(wǎng)絡(luò)攻擊主要鎖定的目標(biāo)。9月17日之后的那個(gè)周末，蘋(píng)果在中國(guó)爆發(fā)了有史以來(lái)最大的安全危機(jī)。因?yàn)閕OS應(yīng)用開(kāi)發(fā)者們的開(kāi)發(fā)工具“中毒”，大量用戶(hù)常用的知名應(yīng)用被曝光感染木馬。就在這份報(bào)告發(fā)布的前兩周，香港電子制造商偉易達(dá)被黑客攻擊，約500萬(wàn)的客戶(hù)賬戶(hù)信息遭到竊取，其中包括大量?jī)和瘷n案。

在中國(guó)企業(yè)中，例如上述針對(duì)客戶(hù)數(shù)據(jù)的信息安全事件數(shù)量在一年之間上升64%，遠(yuǎn)高于全球35%的平均增幅。

與上一年調(diào)研結(jié)果相似，企業(yè)內(nèi)部人員被認(rèn)為是網(wǎng)絡(luò)安全的最大威脅來(lái)源。50%的中國(guó)受訪者將檢測(cè)到的安全事件歸因于現(xiàn)有和離任雇員，但其中42%的內(nèi)部攻擊來(lái)源模糊，無(wú)法判定是由當(dāng)前或是離職內(nèi)部人士所為，這一比例遠(yuǎn)超出全球23%的均值。

2014年，普華永道發(fā)現(xiàn)由于大多數(shù)公司沒(méi)有設(shè)立內(nèi)部威脅機(jī)制，因而防范、偵測(cè)，甚至應(yīng)對(duì)根本無(wú)從談起。對(duì)于造成信息安全問(wèn)題的內(nèi)部員工，公司通常只采取內(nèi)部處理的方式，沒(méi)有案底記錄，這為員工未來(lái)的新東家埋下潛在隱患。

意識(shí)到這一點(diǎn)的中國(guó)企業(yè)紛紛加大了2015年信息安全預(yù)算，均值達(dá)到790萬(wàn)美元，同比增長(zhǎng)了16%，且遠(yuǎn)超出全球企業(yè)510萬(wàn)美元的平均水平。這筆資金主要用于信息安全硬件與軟件設(shè)備、服務(wù)、教育以及相關(guān)人員投入。

為應(yīng)對(duì)信息安全事件的不斷升級(jí)，企業(yè)也在多方嘗試以求改善，例如更積極主動(dòng)地采用信息安全框架（如ISO27001）、增強(qiáng)外部合作、雇傭首席信息安全官（CISO）、首席隱私官（CPO）等相關(guān)高級(jí)管理人員。與全球企業(yè)相比，中國(guó)企業(yè)高管更愿意采用外部合作模式，其主要方式是把網(wǎng)絡(luò)安全監(jiān)控外包給專(zhuān)業(yè)機(jī)構(gòu)或是托管給云服務(wù)商。企業(yè)可以更好地專(zhuān)攻核心業(yè)務(wù)，也能了解來(lái)自信息安全行業(yè)更為權(quán)威的做法。

普華永道的建議是——企業(yè)應(yīng)該搭建并實(shí)施穩(wěn)健的安全控制系統(tǒng)，快速識(shí)別來(lái)自?xún)?nèi)部的安全威脅，提高安全管控能力；將網(wǎng)絡(luò)安全融入企業(yè)的戰(zhàn)略層面，制定如物聯(lián)網(wǎng)等新技術(shù)的發(fā)展計(jì)劃；結(jié)合即將出臺(tái)的網(wǎng)絡(luò)安全法，把信息安全滲透到企業(yè)關(guān)注的各領(lǐng)域。