我们在网络安全中保护什么？

我从私营部门回到公共部门，专注于健康与社会护理领域工作。在工作中，我经常想起多年前在公共部门工作时有效的政府安全原则；即使这些原则现在已被取代和淘汰，其影响依然存在。旧的信息保障（IA）原则已被信息治理（IG）和网络安全的组合所取代。IG现在更加强调数据保护、隐私和权利。网络安全似乎在执行信息安全和IT安全一直以来的活动，但重点不同。

旧版IA原则侧重于信息资产，这在我们的IT系统通常“支持”但“独立于”业务活动时是有意义的。然而，日益有效的网络安全关注业务活动和业务价值的生成与维持。信息资产是其中的一部分，但不是全部，在许多情况下也不是主要部分。

在我目前工作的医疗领域，旧的IT系统更多用于存储和检索信息。然而，随着我们数字化，数字平台在为患者提供实际健康结果的交付中扮演着更加核心的角色。这种嵌入服务交付的方式意味着，虽然我们确实担心信息资产的安全，但直接驱动患者结果的数字系统的可用性和完整性才是重点。

我们不再将信息资产作为关键参考点，而是越来越多地关注客户/患者结果（由关键护理路径运营中断导致的发病率和死亡率影响风险）以及对这些结果的网络安全威胁。

金融部门（在其监管机构引领下）也经历了类似的转变：从2008年危机前主要关注信息保密性，转向认识到服务交付系统性故障的危害，并增加关注“关键业务服务”完整性和可用性风险的时间，这是他们在系统性金融韧性工作后对系统性运营韧性日益关注的一部分。

运营韧性实体

如您所见，当您关注信息、系统、基础设施和技术控制时，您只看到交付关键业务服务所需实体的一小部分。我承认这个说法对信息保障有失公允。当时原则风险评估方法IS1的重点是从信息资产开始，而不是从客户和他们消费的服务开始，因此它倾向于描述实践而非理论。

有效的网络安全要求我们将客户和他们接收的服务作为焦点，考虑更广泛的实体集合，这些实体贡献于成功交付并依赖于它。例如：

• 塑料小部件供应商遭受对其制造能力的破坏性网络攻击，其损失可能像黑客入侵关键系统和数据库一样对服务交付造成损害。
• 跨多个系统和信息资产的依赖关系可以突显服务交付风险，而仅关注单个信息资产和持有它们的系统无法看到这些风险。例如，在用户面对系统中无风险的数据，可能在后端报告系统中以风险更高的方式使用，这需要数据流、数据来源和保证的端到端服务视图。
• 手动业务流程的自动化可以显著降低用户被钓鱼或欺骗的网络风险，如果自动化不需要用户交互则更好。

当前解决服务交付网络安全风险的一个真正挑战是，我们依赖的许多韧性控制存在于传统上是IT安全/网络安全舒适区的技术控制空间之外。我们需要与业务连续性和运营韧性的同事密切合作。核心数字系统在关键业务服务交付中的嵌入意味着，在网络触发的中断期间，其服务的韧性和恢复通常依赖于替代性、有时是手动的交付机制。

依赖数字系统进行日常工作的团队将获得提高生产力、更好决策支持和更便捷沟通的好处。然而，除非我们主动理解断开或中断的数字环境是什么样子，并为他们做好准备，否则他们将失去在没有这些系统的情况下工作的能力。

我们应专注于保护业务服务，而不是保护信息资产。