韧性是关键实体的第一要务

组织面临的运营中断事件形式各异、花样频出且与日俱增。 

另一个明显的例子就是勒索软件的“商业化”推动了网络攻击不断激增。然而，并非所有潜在的中断都源于犯罪意图。人为错误和事故仍然是最常见的运营中断原因。

原材料短缺和全球互连供应链中断也会产生直接影响。我相信大家都还记得，2021 年“长赐号”货轮在苏伊士运河搁浅造成运河堵塞六天的混乱场面。此外，中断原因还包括关键机械和工艺故障、地缘政治冲突、贸易战等广泛问题。

因此，对韧性的需求已然成为所有组织的当务之急。然而，对于提供国家关键基础设施的组织而言，韧性不仅至关重要，更是监管的必要环节。 

因此，韧性的重心已从“关键基础设施”扩大到了“关键实体”，以涵盖在支持越来越多对国家经济或社会福祉至为重要的行业方面发挥作用的组织，无论其规模大小。

对关键实体的监管要求日益增加

在欧洲，以网络安全为重点的 NIS2 指令和更广泛的关键实体韧性指令 (CER) 现已成为欧盟成员国的法律。这两项指令都对“关键实体”组织提出了重大要求。“关键实体”是指以任何方式参与提供维护关键社会职能、支持经济、确保公共卫生和安全以及保护环境的基本服务的组织。

这两项法规之间有着密切的联系。它们首次对同一份明确定义的关键实体名单产生了深远的影响。除此之外，这两项法规还适用于这些组织的整个供应链，显著扩大了法规的影响范围。

定义（并证明）“韧性”

欧盟委员会的 CER 指令将韧性定义为“关键实体预防、防范、应对、抵御、缓解、承受、适应和从事件中恢复的能力。”

此定义本身突显了要求的广度。此外，当考虑到潜在运营中断原因的多样性和数量，以及需要确保组织供应链支持这一韧性定义时，挑战的范围就会变得清晰明了。

从根本上讲，关键实体必须表明他们全面了解自己所面临的所有潜在风险。这些风险包括对基础设施的物理攻击、关键机器或部件故障等等一切。 

全面的风险评估和违规的潜在成本

关键实体需要每四年对这些风险的演化进行一次风险评估，再次评估可能破坏其基本服务提供能力的所有相关风险。 

不可避免的是，关键实体自行进行的风险评估还将突显其自身供应链在韧性方面的作用。这会产生风险评估的“瀑布效应”，因为关键实体为满足与韧性相关的法规要求而做出的努力，必然要求其供应商也展示同样强有力的方法。

如果发生中断基本服务提供的事件，关键实体必须证明他们已采取适当的步骤来避免、应对事件和从事件中恢复。 

如果此类关键实体经发现违规或未能适当考虑和做好应对各项风险的准备，可能会受到重大处罚。NIS2 规定的潜在罚款最高达 1000 万欧元，或为关键实体所属母公司或集团上一财年全球年收入总额的 2%（以较高者为准）。违反 CER 规定的处罚由各个国家/地区自行确定，但处罚力度很可能与 NIS2 不相上下。

这两项法规的另一项要求是公开沟通。组织需要报告任何事故，并公开透明地分享有关事故性质、应对措施和解决方案的报告。这有利于其他组织吸取经验教训，并能够调整自身的风险缓解措施。

利用网络技术支持对韧性的需求

为了满足对韧性的需求，关键实体正在重新考虑使用现有基于 IP 的技术，包括视频监控摄像机、音频设备、访问控制解决方案、对讲机、环境传感器等，以及日益先进的分析能力。

这些技术几乎可以支持韧性定义的各个方面，包括初始风险评估本身。通过分析网络视频和其他联网设备和传感器所创建的数据和元数据，关键实体可以了解几乎所有可能存在风险的情况，而这是提供法规所要求的韧性证明的重要因素。

得益于图像质量和人工智能分析的进步，更早、更准确地识别各种问题的能力得到了显著提高。如果管理得当，所创建的数字信息流可以提高整体意识，这对于预测和避免问题至关重要。自动警报可以实现快速响应和集中行动，从而在威胁和潜在问题演变成事故之前加以解决。 

缓解整体风险状况

虽然传统安全用例见证了视频监控所发挥的核心作用，但更好地了解和分析环境的能力是众多健康和安全以及运营效率用例的有力作证。 

视频、音频和热传感器的组合可以让生产区域更加一目了然，并对关键资产（例如关键机械或工艺）的问题及早发出预警。这有助于在潜在故障发生之前进行补救，并且通过长期收集数据，有效支持关键资产的预测性维护。

不遵守相关的健康和安全流程也会带来重大风险，任何事件都可能导致运营中断。 网络技术可帮助降低内部风险，例如，强大的访问控制可确保只有授权人员才能进入场所的敏感区域，而分析则可确保遵守适当的健康和安全防护措施。

外部人员的物理攻击经常登上新闻头条，但大多数导致运营中断的事件都是由于内部行动或失败，通常是无意的，但有时是故意的。例如，研究一致表明，大多数网络攻击都是由人为错误造成的，健康和安全事件、机械故障或供应链瓶颈往往也是如此。

网络安全仍是关键风险领域

关键实体使用的所有技术都必须支持组织的整体安全态势，并有助于降低网络攻击风险。此外，关键实体用来保护运营各个方面的设备本身不应存在风险或漏洞。设备不仅要在设计上符合安全要求，还应制定适当的流程，以确保在整个生命周期内尽可能的安全。此外，关键实体还需要与供应商密切合作。 

无论是广义法规还是特定法规，都越来越多地要求这样做。其中包括《欧洲网络韧性法案》（该法案适用于直接或间接连接到网络的任何电子设备，包括家用智能扬声器、数据中心服务器），以及与关键实体具有更高相关性的 CER 和 NIS2 等。与明确致力于网络安全透明度的供应商合作至关重要。

韧性是“必需品”，而非选项

每个组织都应该致力于提升韧性。就最好的情况而言，任何运营中断都会对盈利能力产生短期影响。至于最坏的情况，则会威胁到组织的整体业务。运营中断的代价包括直接和间接、有形和无形、可预测和不可预测的。从长远来看，组织声誉所遭受的损失可能远远超过短期的财务影响。

对于医疗保健、金融、水处理、能源等关键实体，监管机构已然认识到这些服务供应中断的潜在影响有多么严重。对盈利能力的威胁是一回事， 对公众健康的威胁则完全是另一回事。

新法规的出台具有积极的意义，但满足这些法规所需开展的工作不容小觑。虽然大型关键实体和组织已经踏上这一征程，但关键基础设施供应链中的许多其他实体并未迈出第一步。这些法规涵盖了大量中小型企业，其中许多企业可能缺乏遵守这些法规的知识、专业技能和能力。第三方的专业知识和技能可以提供帮助，但对这些知识和技能的需求可能很快就会超过供应。现在是时候采取行动了。