应对生物技术行业的网络安全威胁
随着对生物技术和研发(R&D)的大量投资,生命科学组织正成为网络犯罪分子越来越有利可图的目标。科学发现方面正在取得巨大进步,企业也必须通过管理安全风险和保护科学数据来跟上步伐。
一份网络安全报告发现,勒索软件攻击——一种恶意软件,在支付赎金之前锁定用户的设备或文件——增加了485%与2019年相比,可能受到COVID-19大流行的影响。此外,另一份报告发现,制药行业数据泄露的平均总成本为506万美元.
鉴于这些不断上升的网络安全风险及其构成的威胁,188金宝搏备用说话扎克的权力)的首席信息安全官Benchling,生物技术行业的研发云平台。我们将讨论为什么生物技术行业成为网络犯罪分子的目标,数据安全的重要性以及该行业如何减轻这些威胁。
Sarah Whelan (SW):你能解释一下什么是Benchling R&D Cloud吗?它是如何被设计来推进科学研究和开发的?小型学术实验室如何受益于大型生物技术公司?
扎克·鲍尔斯:Benchling的初衷是让研究和开发成为它本来的样子——一个将想法转化为科学进步的合作过程。在过去几年的大流行中,这一愿景比以往任何时候都更加紧迫和重要。现在,超过20万名科学家使用Benchling的研发云作为生物技术研发的中心真相来源,以集中数据,改善协作和获取见解,最终加速发现之路。
看看我们的研发云如何促进科学界的进步的例子-我们帮助先正达从数据竖井到数据作为优势,现在有一个数据基础设施,服务于90个不同语言、不同法规和时区的地点,在他们的使命中,种植需要更少投入的作物,同时产生巨大的产出。先正达报告称,通过Benchling,跨地理区域和大型团队的数据共享提高了72%。
SW:在这些基于云的平台的数据安全方面需要考虑哪些因素?
ZP:生物技术组织基于知识产权产生收入,如果受到损害,就会损失大量收入。由于这些组织的产品对人类的潜在影响,这些组织也受到高度的监管,遵守法规可以成就或破坏组织的竞争能力。
这两个因素都意味着,对于Benchling这样的云平台来说,为生物技术客户保持行业领先的安全、隐私和合规标准是至关重要的。企业软件即服务(SaaS)公司有责任安全地开发云软件和基础设施。为此,他们使用自动化漏洞管理、常规渗透测试、资产管理、配置管理、威胁检测和响应工程等。最终的结果是,许多云软件产品比内部部署技术更频繁地接受更多的安全审查。在安全方面,并不是所有的云产品都是一样的,但企业SaaS公司以这种方式处理安全问题正变得越来越普遍。在评估云平台时,客户应该评估企业SaaS公司在持续的基础上在安全方面投入了多少;是否存在客户可以从中受益的安全规模经济?
斯蒂芬尼:数据安全和治理对这个行业有多重要?这些年来,随着新发现的出现,生物技术成为网络犯罪分子更有利可图的目标,数据安全和治理有什么变化?
ZP:近年来,威胁行为者变得更加先进,是资金雄厚、受过良好教育和有组织的企业。更重要的是,最危险的威胁行为者是由美国和欧盟的对手雇佣的。这些组织都是为了盈利,许多甚至有收入目标。他们的目标是非法获取一些世界上最敏感的知识产权,以获取经济利益。
制药公司现在经常成为这些高级威胁行为者的目标和攻击,到2021年几乎所有(98%)的制药公司至少经历过一次安全入侵。事实上,仅在去年一年,就有超过20%的企业丢失了业务关键数据或知识产权。
显然,强大的数据安全和治理比以往任何时候都更加重要,特别是随着生物技术行业产生的大量有价值的数据的涌入,其价值不断增加。
SW:你认为生命科学和生物技术机构在管理安全风险方面可以从其他行业吸取什么教训?
ZP:如今,适当地管理安全风险需要工程、自动化、实时分析、威胁情报、重要工具等。它还需要在整个组织中应用安全策略,具有多层防御、检查点和内置响应选项。这种投资水平似乎令人生畏,但面对资金充足、专注于目标的对手,少做只会让威胁行为者更容易实现他们的目标。在安全行业中,我们经常谈论“攻击者的成本”,以及如何适当地投资于安全,从而充分提高成本,以阻止攻击者或充分减缓他们的攻击,从而触发检测机制并执行响应计划。威胁行为者会考虑实施攻击的成本;毕竟这是一门生意。生物技术机构有能力影响这种成本模式。
当评估是否在这一水平上投资安全时,许多生命科学和生物技术机构都感到震惊——因为安全成本每年都在迅速上升。我给生物技术机构的建议是,看看有多少其他行业已经利用了成熟的云计算公司在安全性、弹性、灾难响应等方面提供的规模经济。如果一家生物技术机构自己还没有准备好在安全方面投入大量资金,建立世界级的安全项目和保护数据所需的能力,那么他们仍然可以通过将数据和工作流转移到在安全方面投入大量资金的云平台上来获得安全的结果。很多时候,成熟的云平台在安全方面的投资比他们的客户要多几个数量级,而且还在持续进行。没有任何安全策略是完美的,但是利用成熟云平台提供的安全规模经济的策略往往会比不这样做要好得多。
以这种方式处理安全性还有另一个基本好处。采用云优先策略可以显著提高生物技术机构的数据流动性。云架构擅长于让数据被发现、被需要的人访问、在不同的系统之间可互操作和可重用。这些被称为公平数据原则.这是当今生物技术机构的一个关键关注点,多年来,它们一直在努力处理存储在不同的内部仓库中的数据。
我们可以再次从许多其他行业吸取教训,看看它们是如何从更大的数据流动性中发展和获利的。例如,企业SaaS、银行和医疗保健都开始将云计算和更现代的安全视为解锁数据流动性、支持快速增长和无与伦比的创新的关键。如果数据流动性是目标,那么最简单的方法就是通过云计算和数据平台。云计算和数据平台带来了数据建模的一致性,容易实现编程接口,更容易实现治理和安全保证,并允许人们轻松地查找、访问和使用数据。
SW:随着科学的进步,你认为未来需要做出哪些改变来确保数据安全?需要解决的最大挑战是什么?
ZP:我看到的最大挑战之一是对云技术的不信任,不幸的是,这在生物技术领域是一种更普遍的情绪,尤其是在欧洲。许多生物技术机构仍然坚持20世纪90年代末的安全策略,使用内部部署技术,基本上使用防火墙作为第一道也是唯一的防线。很多时候,维护内部部署策略会使您面临更多风险,因为100%的安全责任和资源都由您承担。大多数不信任云计算的公司实际上比他们不信任的云提供商更不安全。
关于云计算是否安全有很多误解,区分事实和虚构是很重要的。当我们查看泄露统计数据时,数据中没有任何内容表明内部部署技术更安全。但是,除了采用数据驱动的方法来做出安全决策之外,我能提供的改变人们对云计算安全的态度的最重要的视角是规模经济。采用云计算和企业SaaS的公司利用了现代软件公司提供的安全规模经济。企业SaaS公司对安全负有责任,他们拥有大多数公司负担不起的安全能力和团队。
这与Benchling是一样的,安全性是我们提供给客户的产品中不可分割的一部分。为了实现这一目标,我们在安全方面的投资远远超过大多数客户的承受能力,并且我们拥有丰富的专业知识。基准测试将安全工程嵌入到我们的软件开发生命周期和云基础设施运营中。漏洞测试每天都在进行,所有检入生产的代码都经过安全测试,发现的任何安全问题都在行业领先的服务水平协议中得到修复。
生物技术机构可以通过利用云软件和平台获得更安全的结果。我们关注安全方面的难题,以便我们的客户能够专注于推进科学和提供对人类有影响的产品。
扎克·鲍尔斯接受了科技网络科学作家莎拉·惠兰的采访。188金宝搏备用