从索尼事件说起：创业团队何时需要开始考虑网络安全的问题【网络安全】

《刺杀金正恩》上映前，索尼影业伺服器遭到自称“和平捍卫者”的黑客入侵，大批电邮与明星资料、影片遭窃，接着黑客以“911恐攻”要挟，5大连锁戏院决定不播映该片，索尼随即宣布取消圣诞节档期上映计划，也不会以其他形式发行。

回顾这事，很多人都会感慨，索尼这样的娱乐业巨头怎么这么容易就被一小撮朝鲜黑客给踹馆了？

实际上，在索尼遭受黑客攻击后，美国知名信息安全公司FireEye旗下Mandiant部门创始人凯文·曼迪亚(Kevin Mandia)曾表示，索尼影业遭遇的黑客攻击是任何企业无法避免的。此次黑客攻击事件所影响的不仅是一部影片的发行，也意味着全世界企业所面临的网络环境的险峻程度前所未有，并随着索尼事件的发酵逐渐昭然于天下。要知道，除了以黑客攻击为代表的传统网络安全问题有增无减，随着大数据越来越广泛的应用，越来越多的企业和个人用户正在自愿地放弃大量隐私机密来换取商业利润和个人便利，很多初创团队也不例外，这就意味着企业正将自己的机密暴露在多重曝光的危险之中。在迈向成长型公司的路上，我们是否需要花很大代价去增加网络安全的开销？如果答案是肯定的，那么加强企业网络安全，到底需要考虑哪些因素？

从这次事件中，我们可以看到，索尼内部邮件被曝光，未上映的电影种子被流传，索尼员工乃至合作公司员工薪酬被晒……面对黑客，公司就像被X光透视一样，已经毫无秘密可言。本来公司内部资源应该是由各种安全链条重重保护的，这些链条是怎样一环一环地被逐层攻破的呢？面对不断升级的流氓软件，现代公司必备的防火墙、杀毒软件等技术似乎毫无招架之力，那么是不是公司只需要也同步升级自己的防火墙、杀毒软件就够了？

实际上不完全是。索尼被黑事件中，不仅公司高层机密被泄露，甚至连员工邮件往来都被黑客当做抹黑企业形象的工具大肆公开，这就意味着保障企业信息安全的关键在于“细节”二字。在一些非常重视网络安全的公司，常常会要求每个员工的笔记本电脑都贴上一层膜，这样只有正面看屏幕的人才能够看到你的内容，以防止旁边有人偷窥；每个员工都有一个随机数生成器（类似网银U盾），访问公司内部资源首先要验证，这样即使黑客获取了员工密码也无从下手，诸如此类。当然，严密的安保措施意味着不菲的成本。虽然单个设备都不贵，但是想象要给每个员工都配置一套设备，外加维护设备的人员，这势必会增加一笔相当可观的开销，并不是每个企业都能够负担得起。很多时候，企业是在冒险，拿内部资料被公开的风险去换取较低的运营成本。

企业网络安全的成本除了购置设备，还需要考虑增设网络安全部门的人力成本。这些人，在其他员工看来就像是‘城管’一样不事生产却又指指点点，给员工的日常工作带来许多桎梏。比如，每台电脑都需要增加看门狗软件，锁死很多系统安全方面的设置，简单一点说电脑必须有密码，电脑进入屏保时间是公司设定的等等。如果你在竞争对手的网站上面输入了公司机密（比如各种密码），看门狗软件会立即通知公司的系统，要求你重置密码。在家办公需要通过VPN，平时可以随便访问的资源变得有限制了。在这一系列的安保措施制约之下，工作效率是会受到影响的，在公司甫一开始实施更为严密的网络安全措施之际收到大量老员工的抱怨也不足为奇。在这种情况下，公司网络安全部门是否掌握足够的话语权就显得十分关键。回到索尼事件，我们有理由猜测，尽管索尼设有网络安全相关部门，可能也曾经针对公司落后的网络安全管理（诸如直接将重要信息存放在未经任何加密的文件夹中，还将文件夹冠以极为“通俗易懂”的文件名，比如“YouTube登录密码.xlsx”）提出过一些改进意见，但公司管理层能不能意识到这些，完全取决于网络安全部门的话语权是否足够大，大到能够影响企业高层决策，力排众议，强力推行这些麻烦的网络安全政策。