频繁网络攻击或导致菲律宾IT业务声誉及业务量受影响
当地时间10月25日,菲信息技术和业务流程协会(IBPAP)警告该国信息技术-业务流程管理(IT-BPM)行业应为可能的网络攻击或黑客入侵做好防御以及应对措施。此前,菲律宾多个政府机构的网站及系统遭到黑客入侵,窃取数百万条敏感资料。
声明称,针对菲健康保险公司、统计局、菲国警、科学技术部和众议院系统的网络攻击激增是“需要立即关注的严重威胁”。该组织对最近的网络攻击“深感震惊”,因为它“不仅危及信息技术-业务流程管理行业的运营,还危及菲律宾作为有吸引力的投资目的地的声誉。”
菲律宾的信息技术-业务流程管理预计将在今年产生354亿美元的收入,该行业承认成功的网络攻击可能会导致重大损失。
声明补充道:“网络攻击的后果不仅仅是直接的经济损失。它们可能对企业造成持久损害,导致客户流失、声誉受损和长期财务影响。为此,菲信息技术和业务流程协会强调需要保持高度警惕状态,认识到其对托管大量敏感数据的数字技术和系统的依赖所带来的固有风险。”
该小组概述了在组织层面应对网络威胁的建议:
* 采用零信任方法:实施零信任架构,确保没有用户或设备自动受到信任,并且每一步都需要进行验证。
* 投资人工智能 (AI) 和机器学习 (ML) 主导的威胁搜寻:利用上述最新技术主动识别和减轻潜在威胁。
* 增强威胁情报能力:开发强大的威胁情报能力,包括监控和分析威胁情报源、与行业同行合作以及利用威胁情报平台。
* 加强网络安全技能:通过投资员工培训和技能提升计划来解决网络安全技能差距。
* 实施强有力的数据隐私和安全措施:建立政策和框架来保护敏感数据并确保遵守数据隐私法规。
* 定期更新和修补系统:使用最新的安全修补程序和更新,使所有软件、应用程序和系统保持最新状态。定期扫描漏洞并应用必要的补丁以减轻潜在风险。
* 进行定期安全评估:定期进行安全评估和渗透测试,以识别组织基础设施中的漏洞和弱点。
* 对员工进行网络安全最佳实践教育:开展网络安全意识培训计划,教育员工了解常见网络威胁、网络钓鱼攻击、密码卫生和其他最佳实践,以确保员工队伍具有安全意识。
* 建立事件响应计划:制定并定期更新事件响应计划,以有效响应和减轻网络攻击的影响。这包括定义角色和职责、建立沟通渠道以及定期进行演习和模拟以确保做好准备。
菲信息技术和业务流程协会同样敦促政府确保制定数据隐私和网络安全法,以阻止跨部门的网络攻击和威胁。该组织建议批准并实施《2023-2028 年国家网络安全计划》,称“该计划概述了菲律宾打击可能削弱经济和国家安全的网络威胁的总体战略。”
菲信息技术和业务流程协会还呼吁紧急通过拟议的关键信息基础设施保护法案,该法案为公共和私营机构保护关键信息基础设施的ICT系统免受网络威胁和攻击提供了明确的报告机制和政策框架。
它最后表示:“修改《网络犯罪法》,以便利对损害菲律宾信息技术-业务流程管理和其他行业声誉的员工实施的网络犯罪采取法律诉讼。 菲信息技术和业务流程协会已率先传达了解决我们行业内欺诈问题的紧迫性,以及由于现行法律法规的限制,我们的会员无法对有罪的个人采取法律行动。”
该组织还倡导公私合作伙伴关系,呼吁采取一致的方法来应对网络威胁。声明称:“根据2028年路线图,我们承诺参与与行业利益相关者、政府机构和网络安全组织的伙伴关系和协作,以交流威胁情报、最佳实践,并就网络安全举措进行合作,以创建一个更安全的菲律宾网络空间。”