日前,世界经济论坛(WEF)首次发布《2024年全球网络安全展望》报告,报告探讨了将在未来一年影响经济和社会的网络安全趋势。报告提出,2024年应重点关注全球网络安全的5大趋势:
趋势一:全球网络安全鸿沟日益拉大
报告指出,2023年网络安全经济的增长速度达到了世界经济增速的4倍。网络安全经济是指在保护网络安全过程中的经济活动,涉及到网络安全基础设施的建设和维护。这种增长趋势也导致了网络安全发展的不平衡,拥有足够网络安全建设的企业与那些为生存而战的企业之间的网络安全鸿沟日益拉大。小型企业表示他们缺乏满足最低关键运营要求所需的网络安全投入,而此类小型企业是大型企业数量的两倍多。另一方面,大型、高收入的企业在网络安全方面投入更多,因此他们对自己的网络弹性更有信心。这种现象有时被称为“网络安全贫困线(Cybersecurity Poverty Line,CPL)”,一般是指确保一个企业的人员、技术和系统安全所需的高昂成本,但这种网络安全鸿沟远不止过高的成本。CPL表现出与现实世界的贫困状况非常相似的动态:仅仅提供资金或免费的专业知识并不一定能解决技术设计落后的问题。报告发现,虽然大型企业和中小型企业在网络弹性方面取得了显著进步,但保持最低水平网络弹性的企业数量下降了30%。此外,在世界经济论坛网络安全年会上接受调查的120位企业领导者中,90%的人表示,需要采取紧急行动来解决日益严重的网络安全鸿沟问题。
趋势二:地缘政治和技术转型加剧网络安全的挑战
地缘政治问题备受世界各商业领袖关注,报告提到参与调查的70%的领导者表示地缘政治对其所在企业的网络安全战略产生了一定的影响。地缘政治因素对关键基础设施和全球供应链要素的攻击越来越令人担忧,地缘政治问题的激化会导致新的网络安全挑战,例如,随着人工智能等新技术的普及,使用深度伪造的音视频、错误和虚假信息定向投放广告、以及社交媒体上的算法操纵可能成为破坏选举程序的武器。此外,与过去相比,新兴技术的普及范围越来越广,速度也越来越快。这种技术的快速普及已经超过了民间社会、监管机构和政府组织实施网络安全保护的能力。报告显示,56%的领导者表示,在未来两年内,生成式人工智能将成为网络攻击者的工具。生成式人工智能聊天机器人使网络犯罪分子更容易创建可信的网络钓鱼电子邮件并编写自定义恶意软件。研究发现,新兴技术将会加剧与网络弹性相关的长期风险挑战,这反过来又会加速能力最强和能力最弱的企业之间的鸿沟。随着各企业竞相采用生成式人工智能等新技术,我们需要基本了解这些技术对其网络复原态势的近期、中期和长期影响。
趋势三:网络技术和人才短缺问题严重
由于网络安全环境一直在发生变化,经济也不稳定,所以吸引和留住网络安全人才对组织来说非常重要。随着新技术进入数字网络世界,企业对专业人才的需求变得更多,但现有的专业人才远远不够。很多组织发现他们缺少有足够技能的网络安全人员来保护自己的网络。在所有企业中,只有15%的企业对未来两年网络技能和教育的显著改善持乐观态度。在低收入的企业中,有52%的领导者表示,缺乏资源和技能是他们在设计网络弹性时面临的最大挑战。为解决网络安全技能和人才短缺问题,提高决策者对网络安全技能的认知,世界经济论坛网络安全中心提出了“缩小网络技能差距”的倡议。该倡议采取多方参与的方式,利用行业领导者、政府机构、民间社会和学术界的不同观点,旨在创建一个战略性网络安全人才框架,并制定行动,帮助个人在网络安全工作中快速成长。
趋势四:构建网络弹性的重要性日益提高
各企业和网络领导者必须继续投资,并保持对网络基本安全要素的认识。报告显示,45%的领导者最担心的是遭受网络攻击后的运营中断。将网络安全纳入企业的商业战略,并使网络风险管理与业务需求相一致,越来越多成为领导者们公认的原则。世界经济论坛对治理网络风险达成了六项原则,包括将网络安全作为战略性业务的推动因素;建立和维护核心安全基础;了解网络风险的经济驱动因素和影响;将网络弹性治理纳入业务战略;使网络风险管理符合业务需求;确保企业能够支持网络安全。研究发现,29%的企业在过去12个月中受到了网络事件的重大影响。大型企业表示,网络弹性的最大障碍是改造传统技术和流程。此外,网络弹性与首席执行官的参与之间存在着明显的联系。93%的受访者认为其企业是网络弹性方面的领导者和创新者,他们信任其首席执行官对外谈论网络风险的能力。而在不具备网络弹性的企业中,只有23%的受访者相信其首席执行官有能力谈论其网络风险。
趋势五:网络生态系统风险问题日益严重
企业、供应商、保险公司和监管机构之间的合作是建立更安全的网络环境的重要因素。当一个企业在与供应商、监管机构、政府机构和行业同行的关系中找到共同点时,它就会创造一个更具弹性的数字网络环境。对于任何企业而言,其生态系统中的合作伙伴既是最大的资产,也是实现安全、弹性和可信数字未来的最大障碍。研究发现,在过去12个月中发生重大事故的企业中,41%表示事故是由第三方造成的。54%的企业对其供应链中的网络漏洞了解不足。60%的领导者认为网络和隐私法规能有效降低企业网络生态系统中的风险。23%的领导者认为行业和网络生态系统的合作将在未来两年内得到显著改善。与监管机构的作用类似,保险行业在减轻和控制整个生态系统的风险方面也发挥着重要作用。网络保险可用于支付任何网络抵御战略中不可避免的经济损失,并为确保对网络安全进行充分有效的投资提供重要支持。然而,自2022年以来,持有网络保险的组织总体下降了24%,部分原因是成本问题及投资安全预算的优化需求。供应链最需要协作的领域之一,但有54%的企业对其内部的网络漏洞缺乏了解,且供应链的合作伙伴往往没有提供网络安全状况证明。2023年6月发生的MOVEit黑客攻击事件显示了供应链安全的重要性,凸显了行业间、公私部门以及与保险公司间的协作对于提高网络生态系统中整体网络安全的重要性。
