日本国内80%的企业都存在的传统IT系统,现已成为网络上的安全风险因素。这是因为,在这些传统系统上不断增加新功能,会导致出现系统漏洞的缘故。对此,我们咨询了从美国IBM公司剥离出来的基础平台运营巨头——美国勤达睿公司(kyndryl)的全球实践负责人克里斯·拉布乔伊(Kris Lovejoy),请她介绍应该如何应对该问题。
美国勤达睿公司全球实践负责人,克里斯·拉布乔伊(Kris Lovejoy)
——为什么传统系统会遗留在到现在?
“这是因为企业的IT负责人为避免系统的全面更新,只是暂时在现有的系统上添加企业当前所需功能所致。尽管他们理解更新的必要性,但他们更看重系统故障对业务造成影响的风险。”
“特别是在日本,这可谓是一个紧迫的问题。与日本的客户交流时,我经常吃惊于他们所使用的硬件和软件都是20多年前的技术。”
——保留旧系统会有什么坏处?
“最大的问题在于安全性。尤其是供应商的技术支持会变得薄弱。由于旧系统导入和更新修复程序(补丁)会拉高成本,所以维护的频率就减少了。结果就是,要么花费过高的费用进行一时性修补,要么对已知的系统薄弱之处置之不理。”
“此外,业务上也存在问题。旧系统的计算能力原本就不足,高性能的软件和人工智能(AI)等无法充分运行。因此,业务效率也会滞后。系统的现代化是当务之急。”
——系统更新首先应该做什么?
“首先应该对自己公司的基础平台进行内部评估,确认对核心业务最为重要的信息通信技术(ICT)资产,并确定其中哪些ICT资产是在最过时的基础平台上运行的。此举的最终的目标是实现全部现代化,所以必须积极监控哪些基础平台已经停止了技术支持?技术支持到何时结束?并立即确定应对的优先级。”
——选择新系统时有哪些注意事项?
“应该重视的是兼容性。例如勤达睿的系统,基础平台用的是美国亚马逊网络服务(AWS)和美国谷歌等,手机应用的基础平台则是德国思爱普(SAP),控制技术(OT)的基础平台用的是德国西门子等,我们与各领域的全球性巨头建立了合作伙伴关系。如果没有这样的协作,以后在添加其他公司的系统时可能会出现运行和数据共享方面的不一致。必须确保所用的基础平台是不受特定技术束缚的中立系统。”
“不过,世上没有‘只要导入就可以对应所有需求’的完美系统是不存在的。关键是IT和安全等部门的负责人要理解自己公司的业务背景(来龙去脉)。导致系统停机的原因,包括数据中心停机、网络中断、人为错误等多种可能性。我们必须找出自己公司的业务和组织等方面的风险所在,通过克服影响较大的弱点来提高整个组织的柔然性(恢复力)。”
——您是世界经济论坛(WEF)网络安全委员会的成员。您特别担忧的问题是什么?
“最大的担心是各国竞相独立引进新的网络规制,逐渐形成了各自为政、条块分割的趋势。企业很难适应所有规定。国际标准的制定需要国家间的合作。我认为日本政府在这方面,积极采纳美国标准并保持开放态度是可取的。这将有助于在贸易和采购等方面取得优势,并最终对日本经济作出贡献。”
记者观察:迫在眉睫的“25年断崖”,应尽早应对
根据日本信息系统用户协会(JUAS)2022年9〜10月的调查,在日本的1018家企业中,认为基础系统中还存在传统系统的回答达到62.5%。认为阻碍系统更新的最大因素是“复杂化的系统”(59.3%),这就像在老房子上勉强增改建后,导致无法进行任何工程的悲惨状况。
这种因系统老化而影响数字化转型(DX)进展的担忧被称为“25年悬崖”。虽然情况在逐渐好转,但日本经济产业省2022年的报告中指出,企业的数字投资的80%都投入到了对旧系统的维护和运营中。这正是经营资源被传统系统蚕食的状况。我们不能坐等跌落悬崖,而需要做出彻底的系统革新决策。
克里斯·拉布乔伊(Kris Lovejoy)简历
日文:网络安全编辑/岩泽明信、《日经产业新闻》、2024/1/15
中文:JST客观日本编辑部