【第 N 波危機管理】疫後生還戰 氣候變化資安對策
除了 Bill Gates,《槍炮、病菌與鋼鐵》經典名著都警告過大家,別看輕傳染病的破壞力,不過全球精英學者專家,只有寥寥幾位能夠準確預測 COVID-19 下的 New Normal,但 New Normal 伴隨的重大資安危機與未明前景,早已淘汰了一群應變失敗的 IT 管理層。另一方面,具前瞻力的企管人,已經居安思危,正推敲下一個 New Normal 及其生存法則。
2015-2019 年及 2010-2019 年的平均溫度分別是有記錄以來最高的五年平均和十年平均,冰川融化水位上升,1/4 國土低於海平面的荷蘭,很有機會比馬爾代夫更早陸沉,介時被迫難開家鄉的氣候難民,將會加添收容國的資源分配壓力。要說 COVID 後最有可能出現的另一個 New Normal,氣候變化絕對是大熱門,權威研調機構 Pew Research 最新全球安全隱憂調查,氣候變化再度連任首位(資安亦沒懸念下被列為第二大威脅),與其他末日排行榜睇法一致。世界經濟論壇發表的 2019 年全球隱憂威脅報告中,疫症大流行或傳染病頭 10 位不入,氣候變化卻獨佔 3 甲;極端天氣現象、無法適應氣候變化或減緩其帶來的影響、重大自然災害如地震與火山爆發。專家指出氣候變化對資訊科技的影響,是依靠性、保密與可信度。
如何應對 COVID-19,全世界仍在學習中,就改變社會法則的前題下,這個死 3 百萬人(仍未完)的慘痛經驗,可以作為應對氣候變化的 Reference;當燒足一個月都未能撲滅的森林大火、或導致受襲城市斷水斷電一星期的超級風暴,不再是十年一遇,破壞力還不斷升級,你我他下一刻都有機會成為災民,需要從癱瘓的城市大舉疏散,疫情間實施的遠程工作模式,與企業變陣維持生產力的經驗,就可派上用場。同理,應對疫情的資安策略亦可套用,例如遠程工作加快雲端化過程,第 3 方服務供應商與員工上網環境均超出企業完全掌控範圍,防衛策略就要依靠 Network Software。有關 Data Backup 的討論熱度在本年持繼,自動化備份與災難緊急復修 Backup and Disaster Recovery(BDR)漸漸成為 Data Security 的標準共識。CAGR 預計 2027 年 Disaster Recovery as-a-Service(DRaaS)的需求增長達 41.6%,加上 Multi-Cloud 緊急事故在遠程工作普及化下必然上升,企業明白 BDR 的必要性只是時間問題。
Hacker 是少數受惠疫情的行業,因為重大生活變化與未來不確定因素令人心不安,2020 最常見的 Phishing 關鍵字(而命中率亦較水平高)包括 Covid、Coronavirus、Mask、Test、Quarantine、Vaccine,明顯針對疫情,充分反映 Phishing 玩弄人心的邪惡。去年 3 月首周美國局部地區首次封城,相比一年前未有疫情所做的研究,發現有多達 3 倍人次在相同的模擬釣魚攻擊的介面上,奉上個人訊息。氣候變化眾多危機中,少不了短時間造成難以預測的破壞,大眾恐慌會解除大眾對資訊戒心。專家強調 Zero-Trust Identity 與有效管理的保安方案,加上強化戒心的定期培訓班,可以戲劇性地降低受襲風險。
氣候變化危機隨時破壞通訊基建,癱瘓互聯網,而業界暫未有 IoT 國際標準,但不少辦工室與智能工廠的自動化程序,都由各自為政的 IoTs 透過線上實行自動化運作,由於支援核心基建的運作技術網絡都有點歷史,難以完全滿足資安要求,所以一定要有資安策略應對因氣候變化或黑客入侵而引致斷網。就 IoT 情況,沒甚麼比 End-point Security 更重要。展望未來,企業必須配合各國減排目標,數據中心為首的網絡設施,將要面對嚴格的能源效益標準。環保政策已成為全球共識,積極面對現實的企業,未來就會贏在起步線。
高度專門化的社會下,企業不會自力開發所有技能,寧願和專業單位合作,節省資源。不過氣候變化帶來的不確定因素,令企業有誘因去加強自立性,資安立場上,數據、資安與基礎建設均是優先自立的項目。上面提及的 BDR 等災後復原方案、業務持續發展與全面審視第 3 方服務供應商的風險評估等,都是值得優先投資的自立項目。更多資源的,更應該以可調整規模與可融合的全新平台,換掉被時代淘汰的沿用設備。
下一個全球危機何時發生怎樣進行誰遭殃,車公初三都未必答到,但 COVID-19 最寶貴的一課,是人的生命力可以多頑強,亦可能在最惡劣時勢,才會出現天翻地覆的革新,將這份信念與意志籌劃氣候變化應對方案,就能在危機中逆風而行。