风险管理表示“状态”的领导人欧洲和全世界都已经受到乌克兰战争和乌克兰战争的影响制裁强加给俄罗斯和白俄罗斯演员——或者他们很快就会这么做。如果你还没有,这里有风险管理马上采取的相关措施。(注:你可以找到网络安全相关的要采取的行动同伴博客

  • 为暴露在冲突区域的业务单位建立计划以保持弹性。如果你的职业是什么超大型云提供商可能不再为位于冲突区或冲突区附近的业务单位提供服务受到制裁或业务直接损害的在那里?Forrester的客户在白俄罗斯、俄罗斯或乌克兰开展业务的美国公司可能会面临这种情况风险经理,CISOsIT领导者们需要紧急审查他们对key的依赖该地区的IT供应商并迅速评估他们的能力开关的供应商如果有需要的话。审查业务连续性计划、供应链安排和本地或全球替代方案确保如果必要的话,特定的执行人员被授权快速做出这些决定
  • 向你的员工汇报增加的风险。帮助你的员工帮助你。确保公司范围内对潜在的攻击以及这些攻击可能采取的形式有所了解。在你的信息中要真实和简短,以避免激起不必要的恐惧。在你的信息中表现出同理心,尤其是如果你的员工可能会受到这件事的影响。确保你的员工对潜在的网络钓鱼攻击做好了准备。现在不是用不必要的网络钓鱼模拟来增加员工压力的时候现在轻率的网络钓鱼活动将侵蚀你的品牌和信誉
  • 为更多的供应链中断做好准备。就在全球供应链危机看起来可能有所缓解之际,乌克兰战争给该体系带来了又一次打击。企业应该为短缺、供应中断和制裁做好准备,使供应链不稳定至少持续24个月。考虑到俄罗斯的供应占欧洲天然气的三分之一以上是世界的第二大石油出口国德国已经做到了停止批准北溪2号管道在美国,你可能已经在为更高的燃料价格和可能的短缺做准备了。考虑到欧盟已经对所有俄罗斯航班关闭了领空而且联邦快递(FedEx)和联合包裹(UPS)(截至撰写本文时)已停止向俄罗斯和乌克兰发货,你也应该预料到旅行和货运成本的增加和中断。此外,乌克兰战争还将加剧芯片短缺:氙气和氖气都是半导体制造的关键,而乌克兰的产量约为占全球两种气体总量的70%.这个名单还在继续:俄罗斯和乌克兰的小麦出口占世界小麦出口的25%
  • 现在就开始规划你的一级和下游供应链。无论物理事件是否发生,网络攻击已经开始针对乌克兰的金融和政府服务。毫无疑问:即使是那些在该地区没有(或不知道自己有)关键供应商的公司,也会陷入数字战争的瞄准线之中,如果真的发生了,还会发生实体战争。企业应该立即开始绘制与业务、资产、数据或对该地区依赖关系的生态系统(想想燃料、金属、工业气体、玉米和小麦)。超过3300家美国和欧洲公司俄罗斯的一级供应商超过650家美欧公司在乌克兰拥有一级供应商。如果您还没有这样做,那么开始绘制您的一级、二级和三级供应商的地图,以评估对下游供应链的潜在影响。做好准备,迎接另一波针对供应商的网络攻击,并准备好应急计划。

下面是下一步该怎么做

当你完成以上步骤后,下面是你要遵循的清单:

  • 注意快速变化的制裁,这将需要对第三方生态系统进行更改。例行制裁筛选“去;关于是否与客户、合作伙伴、供应商或供应商合作的决定变得更加复杂。美国已经对乌克兰顿涅茨克人民共和国和卢甘斯克人民共和国地区的新投资、贸易和金融实施了制裁。在撰写本文时,澳大利亚、欧盟、日本、新西兰、瑞士、台湾、英国和美国已经实施制裁针对俄罗斯的金融体系、贸易和获取半导体的途径,切断新的瑞士银行账户对于被制裁的公司和个人,和将几家俄罗斯银行逐出SWIFT(从而将它们与全球金融体系隔绝开来)。假设会有进一步的制裁;积极筛选第三方,包括合作伙伴、外国附属机构和客户,寻找与俄罗斯、俄罗斯寡头、乌克兰分离主义国家和白俄罗斯的关系。
  • 仔细看看你的网络保险政策的条款和条件。财产和责任保险通常有战争除外。当攻击被认为是网络恐怖主义时,独立的网络保险政策也可能包含与承保范围相关的语言。至少从2020年开始在美国,网络保险公司一直拒绝支付与被认为由国家支持的行为者发起的攻击有关的索赔。最值得注意的是,伦敦劳合社(Lloyd’s)则使用了宽泛的措辞其政策和其集团的政策,不包括对被认为是战争行为或网络行动直接或间接结果的网络攻击的报道。你的政策明确涵盖的内容很重要。“网络沉默”的时代,也就是政策不具体解决网络问题、对暴露问题保持沉默的时代,正日益成为过去。与您的法律团队或外部顾问合作,向您的网络保险经纪人或承运人的理赔管理联系人寻求澄清。
  • 演练您的灾难恢复(DR)和高可用性(HA)计划。考虑到您正在使用的各种网络拓扑(因为您可能混合使用了内部部署、公共云和混合基础设施),重要的是不仅要准备好DR剧本,还要了解如何实现该工作流。和你的IT同事核实你是否真的执行了DR计划的关键元素(例如,频繁备份、电路切断和重路由等),如果没有,了解需要什么来重新执行计划并使之成为现实。HA计划可以在很大程度上减轻功能损失,但前提是它们必须得到积极的维护和更新。如果您的HA部署是热/冷部署,那么确保冷部署已经得到了照顾,当您需要它时,它不会被证明是无用的架子。
  • 将地缘政治不稳定性提上企业风险管理议程。基于外部性,并以其形成的速度和实现的速度为特征,“地缘政治波动”在弗雷斯特的调查中排名第二首要系统性风险,2021年但在2022年对企业潜在影响最大的系统性风险方面,该指标已滑落至第6位。你需要一个新的地缘政治风险评估和影响分析,将乌克兰战争及其所有下游影响纳入其中。

注:高级分析师Heath Mullins也参与了这篇博文。