近期,美国国土安全部网络安全和基础设施安全局(CISA)[1]发布了《新冠病毒(COVID-19)的风险管理洞察》。
CISA作为美国国家网络安全和基础设施主管部门,为政府、企业等组织提供网络感知分析、预测和防御能力,同时致力于识别和解决国家关键基础设施面临的重大安全风险。
CISA这份报告,从大IT风险的角度为组织提供了详细的指导。希望也能为我国疫情下奋战中的企事业单位提供IT风险管理的借鉴。
01
关键基础设施风险管理
对于关键基础设施管理部门或组织,应高度重视COVID-19对关键基础设施的影响,CISA建议组织采取以下预防措施来准备应对COVID-19可能造成的影响:
1.指定应急响应协调人员,并为团队成员分配特定职责。
2.制定关于工人和工作场所的保护办法。
3.开展相关保护办法的培训。
4.建立灵活的工作模式,如远程办公和弹性工作时间。
5.确定组织最简运营模式,明确维持自身运转必需的基本功能,商品和服务。
6.确定组织最简运营模式的可持续时间。
7.确定组织的关键产品和服务的供应商,并确定其优先级。
8.不断评估正在进行的各项准备工作,如果业务或社会环境变化,应及时调整目标,结果和工作。
9.密切关注联邦,州,地方,部落和地区的COVID-19信息站点,以获取最新信息。
2
供应链风险安全
1.评估组织的供应链,了解由于COVID-19造成的运输物流中断和国际制造业放缓而造成的潜在影响。
2.与这些供应商讨论由于当前状况而面临或可能面临的挑战。
3.确定潜在的替代供应来源,替代产品或保护措施,以减少干扰。
4.与主要客户进行沟通,使客户了解已发现的问题及应对措施。
3
组织的网络安全风险管理
当组织针对COVID-19探索各种替代的工作模式时,CISA建议采取以下步骤来检查信息技术系统的安全性:
1.关注远程访问的系统安全。包括:
(1)确保虚拟专用网(VPN)和其他远程访问系统已完全打补丁;
(2)增强系统监视功能,及早发现异常行为并告警;
(3)实施多因素身份验证;
(4)确保计算机防火墙、反恶意软件和入侵防御正常运行。
2.测试远程访问解决方案的容量或增加容量。
3.确保运营计划或业务连续性计划已经更新。
4.增强对远程办公的IT支持机制的认识。
5.更新事件响应计划,以考虑分布式环境中的劳动力变化。
针对员工和消费者的网络安全措施
恶意攻击者可以利用公众对COVID-19的关注度,通过网络钓鱼攻击和虚假信息宣传活动来诱骗受害者。网络钓鱼攻击的常用手段为:通过“电子邮件+虚假网站”的方式,诱骗受害者泄露敏感信息;虚假宣传活动可能会散布谣言,并通过操纵公众对话影响政策制定或扰乱市场。
CISA鼓励个人采取以下预防措施,防范与COVID-19相关的网络钓鱼攻击和虚假信息宣传活动:
1.避免点击陌生的电子邮件的链接,并警惕电子邮件附件。
2.不要在电子邮件中透露个人或财务信息,也不要响应电子邮件相应的请求。
3.请查看CISA的《避免社交工程和网络钓鱼诈骗的技巧》,以获取有关识别和防止网络钓鱼的更多信息。
4.查看联邦贸易委员会关于冠状病毒诈骗的博客文章,以获取有关避免COVID-19相关诈骗的信息。
5.通过安全渠道(例如合法的政府网站)获取有关COVID-19的最新信息。
注释:【1】网络安全和基础设施安全局(CISA)为2018年新成立的机构,属于美国国土安全部,CISA主要负责保护国家的关键基础设施免受物理和网络威胁,该局内部有两个中心,第一个是国家网络安全和通信集成中心主要为政府、企业等组织提供网络感知分析、预测和防御能力;另一个是国家风险中心,致力于识别和解决国家关键基础设施面临的重大安全风险。