信息化觀察網(wǎng)

本文來自千家網(wǎng)。

最近有一項(xiàng)調(diào)查，深入了解了全球企業(yè)之間的數(shù)字信任狀況。有效的數(shù)字信任管理可確保數(shù)字流程、系統(tǒng)和交互的安全性、隱私性和可靠性。建立和維護(hù)數(shù)字信任已成為組織成功的重要因素。

該調(diào)查針對(duì)300名高級(jí)IT、信息安全、軟件開發(fā)和運(yùn)營管理人員，其在北美、歐洲和亞太地區(qū)擁有超過1000名員工的機(jī)構(gòu)工作。該調(diào)查結(jié)果發(fā)表在《2024年數(shù)字信任狀況》報(bào)告中，凸顯了表現(xiàn)最佳的企業(yè)(領(lǐng)導(dǎo)者)和表現(xiàn)較差的企業(yè)(落后者)之間的鮮明對(duì)比。

更高的收入和更高的員工生產(chǎn)力

調(diào)查顯示，數(shù)字信任領(lǐng)導(dǎo)者(占受訪者的前33%)擁有更高的收入、數(shù)字創(chuàng)新和更高的員工生產(chǎn)力。

這些領(lǐng)導(dǎo)者擅長應(yīng)對(duì)中斷和事件，為后量子計(jì)算做好準(zhǔn)備，并有效利用物聯(lián)網(wǎng)(IoT)。他們展示了一種通過集中證書管理和使用電子郵件身份驗(yàn)證和加密(S/MIME)技術(shù)來管理數(shù)字信任的成熟方法。

相反，排名靠后的33%（即落后者）在這些領(lǐng)域舉步維艱，在利用數(shù)字創(chuàng)新和維護(hù)強(qiáng)大的數(shù)字基礎(chǔ)設(shè)施和安全實(shí)踐方面面臨挑戰(zhàn)。值得注意的是，雖然領(lǐng)先者很少遇到系統(tǒng)中斷、數(shù)據(jù)泄露和合規(guī)性問題，但一半的落后者報(bào)告了物聯(lián)網(wǎng)標(biāo)準(zhǔn)合規(guī)性問題，許多人遭受了軟件信任事故。

在接受調(diào)查的100家企業(yè)中，只有一家聲稱擁有高度發(fā)達(dá)的數(shù)字信任實(shí)踐，這表明維護(hù)企業(yè)數(shù)字信任存在普遍問題。此外，98%的報(bào)告中斷和限電歸因于數(shù)字信任問題，如過期證書或域名系統(tǒng)(DNS)問題。沒有一個(gè)受訪者對(duì)自己對(duì)此類事件迅速作出反應(yīng)的能力有信心。

量子計(jì)算的挑戰(zhàn)

即將到來的量子計(jì)算增長又增加了一層復(fù)雜性。在生成人工智能等技術(shù)進(jìn)步的推動(dòng)下，量子能力正在迅速加速。

該報(bào)告揭示了在對(duì)抗量子技術(shù)的準(zhǔn)備方面存在的差距，以及面對(duì)這一不斷演變的威脅采取戰(zhàn)略行動(dòng)的必要性。數(shù)據(jù)顯示，61%的組織發(fā)現(xiàn)自己對(duì)后量子轉(zhuǎn)型準(zhǔn)備不足。

領(lǐng)導(dǎo)者估計(jì)需要兩年的時(shí)間才能完全應(yīng)對(duì)量子轉(zhuǎn)變，而落后者則需要三年或更長時(shí)間。這種差異凸顯了制定可行計(jì)劃的緊迫性，特別是考慮到目前量子計(jì)算成為更緊迫問題的五年窗口。因此，面對(duì)不確定性，立即采取戰(zhàn)略行動(dòng)是必要的。

對(duì)SSH協(xié)議的擔(dān)憂

受訪者擔(dān)心對(duì)基于RSA公鑰加密的安全外殼(SSH)協(xié)議的依賴，該協(xié)議在云服務(wù)中無處不在，用于安全通信和身份驗(yàn)證。

此外，RSA的硬件實(shí)現(xiàn)，如安全套接字層(SSL)卸載和加速器，也提出了重大挑戰(zhàn)。

另一個(gè)令人驚訝的發(fā)現(xiàn)是，87%的受訪者表示其物聯(lián)網(wǎng)設(shè)備通過未加密的通道傳輸個(gè)人身份信息(PII)。物聯(lián)網(wǎng)設(shè)備中的這一安全漏洞對(duì)用戶隱私構(gòu)成威脅。好在，企業(yè)現(xiàn)在認(rèn)識(shí)到升級(jí)數(shù)字基礎(chǔ)設(shè)施以保護(hù)用戶的重要性。

軟件信任問題

軟件信任領(lǐng)域正在發(fā)生重大發(fā)展，主要是在實(shí)施軟件物料清單(SBOM)或軟件組件的詳細(xì)清單方面。

先前，大約3%的組織了解SBOM或正在研究SBOM。在這份報(bào)告中，這一數(shù)字已大幅增加至99%。雖然組織認(rèn)識(shí)到SBOM的重要性，但SBOM的實(shí)際部署和有意義的使用可能并不像數(shù)字顯示的那樣廣泛。

電子簽名也已成為一個(gè)重要的關(guān)注領(lǐng)域，只有很少比例的受訪者表示其電子簽名實(shí)踐非常成熟。通常由業(yè)務(wù)團(tuán)隊(duì)處理這些問題，如法律、人力資源和采購，而不是IT部門。

只有大約八分之一的組織了解簡單電子簽名和使用證書的更安全的電子簽名之間的區(qū)別。近一半(48%)在其文檔上使用電子印章，大多數(shù)(86%)使用由受信任的第三方頒發(fā)的證書進(jìn)行數(shù)字簽名。

如何增強(qiáng)數(shù)字信任

如何增強(qiáng)數(shù)字信任？建議組織徹底清查其數(shù)字資產(chǎn)，定義明確的政策，集中公鑰基礎(chǔ)設(shè)施(PKI)管理，并根據(jù)業(yè)務(wù)影響確定工作優(yōu)先級(jí)。

這有助于緩解安全問題、在客戶和合作伙伴之間建立信心，并改善運(yùn)營。有效的數(shù)字信任管理使組織能夠應(yīng)對(duì)監(jiān)管挑戰(zhàn)，確保合規(guī)性，同時(shí)保護(hù)敏感數(shù)據(jù)并適應(yīng)網(wǎng)絡(luò)威脅。