本周，JP Morgan 首席信息安全官 Patrick Opet 向行业发出公开信，呼吁优先重视软件供应链安全，这一表态在美国企业界敲响了警钟，但几乎没人觉得这是新鲜事。这则新闻的惊人之处在于，表态者是美国最大（按资产计算）、全球最大（按市值计算）的银行，而金融机构通常并不以大胆直率、直言不讳的表态著称。
此外，Opet 在信中强调了金融等监管更严格、敏感度更高的行业面临的特殊风险，这些行业一旦出现失误，损失可能高达数万亿美元。IBM《2024 年数据泄露成本报告》显示，全球金融行业单次数据泄露的平均成本为 608 万美元，仅次于医疗保健行业的 977 万美元。
“便利性不应再凌驾于管控之上，”Opet 在其 LinkedIn 帖文中表示，并呼吁第三方软件供应商、安全领导者及更广泛的科技界，密切关注可能导致 “潜在灾难性全系统后果” 的 “单点故障”。
这种“便利性”通常体现为数据与流程无缝集成的系统，更新无延迟、无需人工干预——这无疑是企业追求的目标。然而，正如 IBM AI 安全与基础设施首席技术官 Nataraj Nagaratnam 所警告的：“例如，随着 AI 智能体推动 AI 自主应用的普及，确保企业的安全措施与这些创新带来的风险相匹配，比以往任何时候都更为重要。”
Nagaratnam 在旧金山 RSA 活动现场接受了 IBM Think 的采访，与 40,000 名安全专业人士共同参与了本年度规模最大的网络安全活动之一。Opet 的这封信成为热门话题，引发了广泛争论，同时也让业界意识到，这是推动制定全行业标准、并建立合规衡量机制的行动号召。
目前，这些标准和具体措施究竟应如何制定，尚无定论。但风险之高前所未有。举个例子：为汽车行业提供软件服务的软件供应商 CDK Global 曾遭遇勒索软件攻击，据密歇根州东兰辛咨询公司 Anderson Economic Group 估计，这一事件累计给汽车经销商造成超过 10 亿美元损失。正如 Opet 所言：“以牺牲安全为代价追求市场份额，会让整个客户生态系统面临巨大风险，并将导致经济体系陷入不可持续的境地。”
我们能得出哪些即时启示？IBM 专家从 Opet 的信函及相关争论中提炼出三项行动倡议：
几乎每周都有新的行业工具问世，助力企业开展治理与合规工作。例如，就在昨日，AI 治理平台 Credo AI 与 IBM 合作推出了 watsonx.governance® Compliance Accelerator，可帮助 AI 用例负责人与合规官以更快捷、更自动化的方式遵守各类法规。
IBM 的 Nagarajan 表示，让企业各业务负责人对其使用的技术负责，将大幅提升安全性。“当您让业务负责人对所用技术、技术管理方式、使用目的及安全保障措施承担责任时，安全性自然会得到提升。”
