網絡安全新策略（《哈佛商業評論》2018年第8期）

本期主打文章是系統安全。核心觀點是聯網的系統不可能安全，安全期間需要後退一步，把最關鍵的系統斷網。

本期高質量的文章較少。

電子版翻頁有問題，電腦上在#473頁按->鍵，會跳到書的首頁。

總體評價3星，有參考價值。

以下是書中一些內容的摘抄，#號後面是kindle電子版中的頁碼，【】中是我根據上下文補充的信息：

1：私募股權、激進投資者和對加大披露力度的要求為通用電氣帶來了挑戰，迫使公司證明其價值應超過各部分業務之和，然而在這一挑戰面前，通用電氣基本上以失敗告終。即便是進行重組之後，投資者似乎對這些部門相互增添價值的能力並不抱有信心。#118

2：在我看來，這類經理通常並未意識到自己想要聘請的是一頭替罪羊。他們僅僅是希望博得他人的歡心，但這意味著他們不得不聘請新人來做那些不怎麽受歡迎的工作，例如削減成本、裁員或執行政策。這是對人才和經驗的浪費。#167

3：在一系列研究中，奧爾胡斯大學的托比亞斯·歐特布林(Tobias Otterbring)和其同事發現，在遇到體型健碩的男性銷售員或模特時，男性購物者會花更多的錢，並購買明顯要貴得多的物品。研究人員認為，這與人類的進化有關，當遇到的對象擁有能夠吸引潛在配偶的特質時，男性會通過展現其財務實力來彌補差距。#320

4：但最近一些國際犯罪團夥，包括俄羅斯商業網絡（Russian Business Network）、南美的Superzonda以及全球“影子幫”（ShadowCrew），越來越擅長利用合法企業的戰術，建立高效國際團隊，並在很多方面樹立了最佳實踐的榜樣，包括自適應戰略、供應鏈管理、激勵措施的運用和全球協作等內容。#479

5：過去幾十年間，美國的高三學生中，稱將來不為錢工作的人比例從78%降至70%。1976年-2005年間，由克萊蒙研究大學的勞拉·雷-萊克（Laura Wray-Lake）進行的一項年度調研發現，越來越少的青少年將工作視為滿足感來源。#543

6：但我們的研究發現，身體有些許部位不對稱的人（例如兩耳或左右手的手指長度不同）往往是更出色的“變革型”領導者，能激勵大家為共同利益暫時擱置個人利益。相比身體更對稱的人，這些人領導的團隊表現更出色。#551

7：我們研究的這類不對稱，很難為外人所察覺，但人們仍然會下意識感到敏感。我們的推論是，生來不對稱的人一般有更強的同理心、社交智能和激勵技能，以此扭轉人們對他們長相和智力的負面評價。在一些領導崗位上，這些能力比支配能力更有用。#560

8：而瑞幸咖啡偏偏反向思考，要將咖啡做成一款普惠產品。瑞幸咖啡創始人錢治亞最初的創業想法就來源於作為有著較高咖啡消費需求的白領，洞察到咖啡行業的兩大痛點：價格高和便利性差。#662

9：中國咖啡市場正處於爆發的前夜。據倫敦國際咖啡組織統計，中國咖啡消費量每年保持約20%增速，全球增速為2%。有數據稱，2015年中國咖啡消費約為700億人民幣，2025年之前中國的咖啡市場有望達到萬億元規模。#703

10：對於網絡安全，無論你的組織在最新軟硬件、培訓和人員方面投入多大，也無論是否保護隔離核心系統，結果都一樣：只要關鍵系統是數字化的，且以某種形式與外部網絡相連（即便你認為它沒有聯網，實際上也極有可能），它就永遠不可能是安全的。這就是殘酷的事實。#966

11：對隱私、數據保護和信息安全政策進行獨立研究的Ponemon Institute指出，信息系統的復雜度如此之高，以至於美國企業僅偵測到系統入侵就平均需要200天以上。大部分時候，企業不是自己發現入侵，而是從第三方獲知。#1024

12：在能源、交通運輸、重工制造等重資產行業，無論企業投入多少人力和資金，都無法保證標準安全步驟全無差錯。實際上，第一步建立硬件和軟件資產的完整清單，大多數企業就會出錯。這是一個巨大的短板：如果都不知道自己有什麽，自然也談不上防禦。#1045

13：一個典型例子是2012年沙特阿美遭受的Shamoon病毒攻擊。該石油公司擁有良好的網絡防禦體系，但被美國政府官員懷疑來自伊朗的這次攻擊，仍刪除了公司3/4電腦上的數據。#1061

14：更近的一次攻擊發生在今年3月，入侵者操縱一家沙特石化工廠的安全控制系統，企圖制造爆炸。據《紐約時報》報道，如果不是代碼出現錯誤，攻擊可能會成功。#1061

15：愛達荷國立工程實驗室（INL）已開發出一種實用性強的解決方案，即“結果導向、充分考慮網絡狀況的工程設計”（CCE）。CCE的目標不是進行一次性的風險評估，而是永久改變領導者對於公司網絡風險的思考和評估方式。#1067

16：CCE的第一個階段是INL定義的“結果優先排序”：模擬災難性場景或產生嚴重後果的事件。這要求參與者找出可能影響企業存續的核心功能和流程。例如，如果變壓器遭受攻擊，電力公司或許一個月無法正常供電；又如，壓氣站停止工作，燃氣公司將無法向用戶供氣。#1094

17：關於這些要素的現有統計資料總會跟不上現實。諸如“誰能接觸你的設備”“信息如何在你的內部網絡中流動，你如何保護信息”等問題，總會帶來意外發現。#1104

18：至少，備用系統不應與主系統完全相同，原因很明顯：如果攻擊者能成功入侵主系統，也能輕松入侵一個完全相同的系統。#1138

19：保護你的公司的唯一方法，是主動在技術上“後退”一步——其實是工程上的進步。新防禦思路的目標是，減少或消除關鍵部門對數字技術的依賴及與互聯網的連接。這樣做有時會增加成本，但相比保持現狀可能帶來的災難性結果，一定是值得的。#1142

20：但黑客反擊是主動防禦的一部分嗎？可能不是。“黑客反擊絕對不是主動防禦。它可能是非法的，而且不一定有效。沒有證據表明，對攻擊者發動攻擊會有作用。”李明確指出。#1306

21：有意思的是，據我觀察，無人機、無人駕駛汽車等新興產業中極為常見的制度混亂問題，在發展中國家同樣存在。我認為，科技創業家可以從新興市場的成功商業人士身上學到很多東西，雖然這聽上去也許有點奇怪。#1637

22：大疆已經著手建立“地理圍欄”（geo-fencing），限定無人機禁飛區的虛擬邊界。公司與中國政府合作創建、維護和更新必要的系統。大疆還聯合政府建立了記錄無人機用戶姓名和即時飛行位置的登記系統。#1783

23：【3D打印】大規模定制適用於任何客戶對標準化和常規制造產品不滿意的大型市場，並且很容易收集客戶信息。比如，助聽器、矯正牙套、假肢、太陽鏡、汽車和摩托車配件以及聖誕樹裝飾。#1871

24：這種模式可以迅速且顯著地影響整個行業。在助聽器行業內，這樣的變化僅用了一年半的時間，就讓一些制造商破產。主要的競爭挑戰是降低獲得個人客戶信息的成本。#1875

更多良心書評參見我的公眾號：左其盛經管新書點評

3星|《哈佛商業評論》2018年第8期：數字化且聯網的系統永遠不可能安全