会刊精选
未雨绸缪       
2017-08-08

以鱼叉式网络钓鱼为例,就像这个钓鱼游戏名字显示的那样,是针对特定目标的致命一击,鱼儿们还不明白怎么回事就给拖上了岸。
迪肯大学网络安全研究中心副主任马修·沃伦(Matthew Warren)教授表示,鱼叉式网络钓鱼的最终目标是“收集数据并获取密码和帐号”。
“组织系统变得越来越复杂。现在已经有组织在使用云部署,把移动技术作为其公司系统的一部分。”沃伦教授说。
“组织系统在许多平台上使用了许多技术,正是这些技术给组织带来了更多的潜在威胁和攻击。这种复杂意味着组织发现越来越难适应这种新的安全形势,也发现来自不同源头的威胁正不断发生。”
沃伦教授认为,尽管攻击者路径不断演变,但只要保持态势感知能力,会计师和小企业的前景依然光明。
沃伦教授以印度尼西亚黑客群体的研究为例追踪了一起对澳大利亚一家小企业的攻击事件。他联系并告知该公司他们成为了网络犯罪的受害者,但他们根本不相信他。
“许多小型企业没有这种态势感知能力……他们可能没有基本的网络安全意识或对威胁和风险的初步认识,”沃伦教授说。
为了防范网络攻击,会计师需要能够识别常见的攻击路径,保护他们的业务和客户。

攻击类型
鱼叉式网络钓鱼现象很好地展示了网络犯罪分子如何采取攻击,甚至如何对大多数网络精通用户进行攻击。
沃伦教授描述了一个类军事行动,攻击者在发送电子邮件假装从最近的事件或活动中了解他们或假冒受害者熟悉的大型公司之前,会对高管级别成员进行侦察。
初次接触经常使受害者无意中点击链接和附件,进而导致大量恶意软件感染电脑,接下来发生的事情大家就都清楚了。
令人担忧的是,鱼叉式网络钓鱼通常是针对首席财务官等高管,通过个人信息(如名和/或头衔)等手段获取对方信任。
具有讽刺意味的是,安永(EY)《全球信息安全调查报告》显示,87%的董事会成员和C级高管对组织的网络安全水平缺乏信心。
CommsNet集团的网络安全专家兼执行总裁波阿斯·菲舍尔(Boaz Fischer)表示,勒索软件是另一种常见的攻击类型。在收到赎金解锁受害者的系统和文件之前,网络犯罪黑客会限制受害者访问自己的计算机、数据或文件。
趋势科技(Trend Micro)2016年安全综合报告显示,勒索软件使用量增长了惊人的752%,造成全球企业损失10亿美元。
新发现的恶意软件威胁数量也从十年前的每月300个增加到2017年的每月35万个。
“可以说,网络攻击唯一的最大动力就是金钱。”菲舍尔先生说,“到2019年,网络犯罪预计会成为2.1万亿美元的大问题,这也就不足为奇了,而且还有源源不断的攻击者想来分一杯羹。”。
“加密您的数据并以此要挟进行勒索,您就有可能会支付赎金。”

持久性后果
一旦网络犯罪分子获取机密信息和数据,会计师及其客户就会面临一个潜在的爆炸性雷区。
据菲舍尔先生说,大多数公司和个人受害者愿意付钱恢复加密数据,“因为丢失重要数据和信息的风险可能是灾难性的。”
不过,他指出,专家们一致建议不要支付赎金,不然势必“养虎为患”,也会让自己被标记为目标,导致罪犯会通过限制返还给您的数据从而继续勒索。
赛门铁克(Symantec)的一项研究《2016年互联网安全威胁报告》发现,所有网络攻击中有43%针对小企业,其中高达60%的企业无法从攻击中恢复过来。
“如果好几万美元从账户中被盗,许多小企业可能会非常脆弱。”沃伦教授说,“他们可能不会轻易获得现金来堵上窟窿,并且这也会影响组织的生存力。”
这种攻击可能会导致一项业务与其客户之间的信任被破坏,并且许多客户在知道网络攻击时,便会将业务转交给其他公司。
沃伦教授表示:“从安全治理的角度来看,每个组织都有义务在网络环境中保护客户。”
会计师能为保护客户做些什么呢?
IPA宣传和技术执行总经理维奇•斯蒂利亚诺(Vicki Stylianou)认为,由于技术的发展性质,这是一个灰色地带,因此会使会计处于危险境地。
“您只能为当事人或客户做有限的工作。到头来,他们还是要去承担责任。”斯蒂利亚诺女士说。
“会计师可能会向客户说:‘做简单备份。做甲乙丙丁各种事情,它会让您得到比现在更多的保护’,但如果客户没有这样做,那么您就不必对此负责。”
2017年2月,联邦政府通过了《隐私权修订(应申报数据泄露)法案》。该法案将于明年初生效,要求机构、组织和某些其他实体向澳大利亚信息专员和受影响的个人提供符合条件的数据泄露申报。不遵守申报规则的个人和公司分别被处于34万美元和170万美元罚款。

掌握规则
网络攻击不断发展的性质使得防范新的威胁变得异常复杂,尤其是我们不知道这些攻击可能会以什么形式出现的时候。
犯罪分子正在开发针对移动设备和销售点系统的恶意软件,各个组织很难找到恰当的策略来应对。
“对于过去的威胁,各个组织已经了解并处理了。”沃伦教授说,“新的威胁的问题是您必须考虑智能城市和智能建筑的问题,作为支撑的技术和基础设施在理论上可用于攻击。”
斯蒂利亚诺女士也参与了这一讨论,称,“有些会计师可能遥遥领先,但是万物同理,总有一些会计师会落在后头。”
“一段时间以来,IPA一直强调网络安全,但我认为,他们中的很多人仍然缺乏网络安全意识。”她说。
网络攻击的问题在于它们越来越复杂,一些会计师正在努力跟上黑客的步伐,采取相应防范措施。许多人还在把不断更新安全系统来对抗攻击当做一件麻烦事。
然而,根据Palo AJto 网络区域首席安全官兼亚太地区副总裁肖恩·杜卡(Sean Duca)的说法,简单的提示通常是最有效的,而且用不了很长时间我们就能把预防措施当作第二天性,产生条件反射,无需刻意提醒了。
“我们需要不断提醒自己,在上网时要更加注意发生了什么。”杜卡先生说,“有人正在尝试和研究如何接近您的设备,如何访问您的数据,最终如何获利。”
“这跟我们跳上一辆车的感觉是一样的——第一时间就要想到系好安全带。在阳光灿烂的日子外出,第一反应是带上一些防晒液。您也要有同样的心态,特别是在管理您自己的数据时。”

提示和技巧
即使是时间最紧迫的业务也可以通过简单的步骤来提高网络安全。
沃伦教授提出了两项提高安全性的措施:制定有效的补丁策略和制定网络安全治理策略。
“许多会计师事务所都有各种需要不断更新补丁的技术。”他说,“在许多情况下,组织没有办法修复和更新系统,这意味着他们正在与技术渐行渐远,攻击者会知晓其中的安全漏洞,并利用这一点获取访问权。”
“我还会了解其会计系统在限制权限和密码访问方面的操作。一旦有人离开组织,他们的密码就被撤销。您可能会认为这是一件很正常的事情,但许多组织并不这么做,特别是在涉及到承包商或顾问的时候,因为组织没有到位的治理措施,所以尽管这些策略非常简单,但并没有付诸实施。”
菲舍尔先生还支持系统定期更新,永远别忘记 “切勿点击主动提供的链接和附件”这句口头禅。
他敦促会计师认真对待备份。这些备份应该在不同形式的媒体上进行,与同样会遭遇恶意软件攻击的数字和云备份分离。

综合性计划
德勤金融服务中心的最新研究发现,尽管有组织投资网络安全计划,但只有29%的美国企业购买了网络保险。这可能是澳大利亚目前正在复制的模式。
保护自己和客户的一种方式就是投资网络保险。但是,由于这些产品的高价,会计师可能不愿把钱花在网络保险上。攻击不断演变的性质也限制了保险公司承保范围的全面覆盖。
“有时候保费实在太高了,导致人们无论如何都得面临风险。”斯蒂利亚诺女士坦言。其他人可能会有非常好的业务连续性计划和业务应急计划,这是具有网络意识和准备就绪的表现,所以他们可能觉得自己已经保护到位了,已经有了良好的风险管理,便不需要保险了。
“如果您被黑客攻击,出现了问题,保险无法解决您的直接问题,因此您仍然需要进行备份并采取一些安全措施……保险不能包治百病,它只是整个计划的一部分。”
原载自澳大利亚公共会计师协会《公共会计师》(Publicaccountants201706-07月刊,第29页,《公共会计师》数码港http://pubacct.org.au/.

 

联系我们 网站地图
关注IPA官方微信
在线咨询