赛迪译丛2024年第6期（总第632期）：2024年全球网络风险展望

性。本报告详述2024年的主要网络挑战，重点关注日益扩大的网络发展一、概述2023年，世界形势较为复杂，地缘政治秩序两极分化，多重武装冲突，对未来技术影响充满怀疑和狂热。在这种形势下，网络安全经济发展迅速，赶超全球经济以及技术领域。世界经济论坛网络安全中心持续致力于缩小公共部门、私营部门，以及网络安全领导人和业务领导人之间的差距。本报告将网络风险问题进行凝练，以便为领导者提供切实可行的措施。本报告提出各方领导人不仅要认识到网络安全发展障碍，还应抓住机遇，积极变革。领导人应推动各相关方共同努力和创新，通力合作，创造一个更加安全、更具弹性和可信赖的数字未来。本报告主要调查结果和2024年关键网络趋势如下（详见图1、-网络弹性差异加剧机构间网络发展鸿沟。-新兴技术加剧与网络弹性有关的长期挑战。-网络技能不足和人才短缺继续以惊人的速度加剧。-网络安全部门与业务部门间的协同更加普遍。-网络生态系统风险日益严重。35.1%攻守平衡生态系统中的不均衡问题。越来越多的高收入机构逐渐发展成为网络弹性的引领者今年，贵机构的网络弹性状况如何？越来越多的高收入机构逐渐发展成为网络弹性的引领者构逐渐丧失网络弹性网络弹性不足网络弹性能满足最低要求网络弹性超55.9%攻击方提升对抗性能力：网络钓鱼、恶意软件开发、深度伪造数据泄露：生成式人工智能暴露55.9%攻击方增加安全管理复杂性人工智能系统人工智能系统自身技术安全性软件供应链和代软件供应链和代码开发风险：潜在后门攻击有关知识产权及资源或技能是否为机构网络弹性不足资源或技能是否为机构网络弹性不足网络弹性超过要求的领导者相信其首席执行官会对外协调其网络风险。网络法规可有效降低网络风险网络法规可有效降低网络风险是否认同网络和隐私保护法规可有效降低网络风险？认同认同不认同不认同网络技能不足和人才短缺继续以惊人的速度加剧网络技能不足和人才短缺继续以惊人的速度加剧贵机构是否具备应对网络攻击并修复的能力？贵机构是否具备应对网络攻击并修复的能力？公共机构公共机构机构低收入低收入机构高收入机构低收入机构中高收入机构低收入机构中高收入机构也是实现更安全、更具弹性和可信赖数字未来的最大障碍是否了解第三方风险？缺乏了解缺乏了解网络弹性满足最低要求网络弹性满足最低要求二、全球网络弹性不均衡现象本报告研究发现，能够保持最低网络弹性的“中间层”机构具备足够网络弹性的机构正在迅速发展，而有些机构还在苦苦挣扎，双方之间的差距正在以惊人的速度拉大。弹性水平低的机构无法跟上时代的步伐，只会越来越落后，并威胁整个网络生态系统的完整性。配套网络服务、工具和人才的获取成本，以及大型机构对尖端技术的抢先采用，是造成上述差距的两大主要因素。部分统计数据进一步说明了上述不均衡趋势。在网络弹性无法满足最低关键业务要求的机构中，中小型机构是大型机构的两倍多。另外，在网络弹性超过其运营要求的机构中，高收入机构比小型机构多22%。然而，在未掌握具备网络弹性所需网络技能的机构中，低收入机构是其他机构的三倍。低收入机构往往无法避免网络安全事件引起的运营中断问题，且由于仅有25%的低收入机构购买了网络保险，网络修复给其带来了巨大的经济损失。高收入机构网络保险购买率为75%，是低收入机构的三倍，这一数字与机构员工规模相一致。机构员工越机构购买了网络保险，而员工人数在250名或以下的机构中，参保率仅有21%。研究结果表明，全球网络差距存在地域性、持续性。这种差距往往能反映其他全球发展指标。缺乏网络弹性的低收入机构数量上升了32%，高收入机构数量基本不变。过去两年间，没有新的低收入机构宣布其网络弹性水平能够满足运营要求，但网络安全信心上升的高收入机构则增加了32%。随着时间的推移，机构、部门和国家具体情况的差异，以及对全球网络挑战的不同反应，造就了市场上的佼佼者和落后者。另外，不断攀升的网络安全能力获取成本也加剧了全球不同经济体之间、公私部门之间以及大小机构之间的网络差距。中小企业、跨国公司、非政府组织和政府机构应齐心协力，共同商讨系统性解决方案。幸而，网络高管们基本意见一致。在世界经济论坛网络安全年会上接受调查的120名网络领导人中，90%表示需要采取紧急行动，以解决日益严重的网络发展不均衡问题。有证据表明，中小型企业系统性合作很受支持。三、全球地缘政治与技术转移（一）地缘政治紧张局势与网络安全在《2024年全球网络安全展望》调查中，70%的受地缘政治至少在一定程度上影响了其机构的网络安全策略。在2023年报告中，74%的受访者最为关注地缘政治的影响，今年也的受访者表示已经开始调整网络安全策略，将进一步利用威胁情报报告机制，并继续完善安全事件响应计划。地缘政治也直接影响着一个机构或国家风险趋势变化的速度。约有72%的领导者表示，他们了解这种变化形势，并积极将当前安全事件与自身网络风险管控方式相结合。展望2024年，这些风险将会加剧，并成为人们关注的焦点。超过45个国家将在明年进行选举，确定占全球GDP50%以上的领导者。随着生成式人工智能等新技术的普及以及网络对手对技术的广泛应用，保障选举过程的完整性和公正性变得至关重要。人工智能进步所带来的风险比深度伪造或错误信息更大。为确保2024年网络安全与选举安全，应注意以下六个方面的风险：错误信息和虚假信息、深度伪造、自动造谣、定向广告、数据隐私、算法操控社交媒体。本报告调查结果表明，各机构正在关注新兴技术发展并迅速人工智能在过去12个月中的迅速崛起就是一个重要案例。在《2022年全球网络安全展望》中，约一半的领导者表示，在未来两年，自动化和机器学习将对网络安全产生最深刻的影响，事实证明的确如此。今年，约半数领导者仍认为，生成式人工智能将在未来两年对网络安全产生显著影响。在网络安全（65%）、农业（63%）、银行业（56%）和保险业（56%）等行业中，选择生成式人工智能对网络安全影响最大的领导者比例最高（见表认为生成式人工智能将在未认为生成式人工智能将在未来两年对网络安全产生最大认为其机构至少具备最低标准网络弹性的领导能源技术、能源公用事业、领导者还对短期内网络安全受到的冲击表示担忧。今年，的领导者表示，在未来两年，生成式人工智能将赋予网络攻击方更大的优势，而非防御方。具体来说，生成式人工智能将提高攻击方应对防御方打击行动的能力，网络钓鱼、开发定制恶意软件和传播错误信息，是领导者最担忧的。对于大多数机构而言，前沿技术研发，如生成式人工智能或元宇宙具有很大潜在优势。据预测未来10年，生成式人工智能将刺激全球GDP增长7%。虚拟世界能够为全球各机构提供安全、有效和低成本的员工教培方式。前沿性技术融入生态系统的速度和规模也加剧了管理者的担忧，也对其机构的底层技术系统造成了压力。当被问及董事会或最高领导层2024年的首要任务是评估新兴技术风险对机构的影响还是进一步覆盖网络安全基本要素和解决现有差距时，世界经济论坛网络安全年会接受调查的120位领导人中，有近四分之三（73%）的领导人倾向于后者。四、网络技能欠缺问题严重2022年，6%的领导者表示，缺少应对网络安全事件所需的被问及其机构是否拥有达到网络目标所需的技能时，20%的领导者给出否定回答。今年，持不确定态度的比例也从2022年的4%网络技能欠缺不仅仅与执行特定任务的资源有关；关键技术和软技能的缺失正迅速成为实现机构网络弹性战略目标的最大障碍。今年，36%的领导者表示，技能缺口是实现网络弹性目标的主要挑战。约78%的领导者表示，所在机构自身的能力不足以实现其网络安全目标。国际信息系统安全认证联盟（ISC2）的一项网络安全劳动力研究显示，57%的受访者认为，网络安全人员的不足使各机构面临中高度的网络安全攻击风险，这表明上述问题更加严峻。在低收入机构中，31%的领导者表示其机构缺少关键人才和技能；而在高收入机构中，这一比例仅为11%（见图3）。这与国际信息系统安全认证联盟网络安全劳动力研究中34%的调查结果一致，他们表示网络安全人员短缺的最重要原因是其机构缺少资金预算。技能缺口不同程度地影响着所有机构，但对低收入机构影响最大。 中高收入机构低收入高低收入机构之间的另一个差距在于招聘传统网络安全专业人员的能力。在参与调查的低收入机构中，只有21%的机构表示将通过招聘经验丰富的网络专业人员来弥补技能差距；相比之下，在高收入机构中这一比例达36%。低收入机构要求员工独立提升网络技能。在低收入机构中，有15%的受访者希望其员工能够独立提高技能，但在高收入机构中，只有4%的受访者持这一观点。世界经济论坛研究表明，到2027年，由于技术发展的速度超过了企业开展和扩大培训规模的速度，因此44%职工的核心技能将毫无价值。网络安全领域也是如此，人才缺口继续给公共部门和私营企业带来了现实挑战。为了应对这个问题，各机构必须挖掘新型人才库，不止于储备具有网络经验的“传统”候选人，并为员工提供认证计划等提高技能的机会。这些招聘和留住人才的策略有助于各机构适应持续变化的威胁形势。五、新时代下的网络弹性（一）综合考虑新旧风险在《2024年全球网络安全展望》报告调查中，45%的领导人表示，最担心网络安全事件造成企业运营中断。将网络安全领导人和业务领导人分成两组进行调查后，50%的网络安全领导人和40%的业务领导人表示，最担心的问题都是运营中断。当这些领导人被问到，除运营中断外，他们还担心什么问题时，他们表示是无法获得重要商品和服务，以及网络勒索。29%的领导人表示，其机构在过去12个月中遭受过严重的网络攻击。从地区看，超过一半的欧洲和北美领导人表示，其机构购买了网络保险。其他地区超过60%的领导人表示，其机构未购买网络保各机构不仅需要关注新技术，也需要关注旧技术或旧系统。44%的高收入机构受访者表示，保护旧技术是维持网络弹性的最大障碍，甚至比获得领导层支持和填补技术差距更具有挑战性。《2023年全球网络安全展望》报告的主要结论为，网络安全领导人和业务领导人的看法差距正在缩小，网络安全领导人和业务领导人（分别为32%和38%）表示，资源或技术差距是维持网络弹性的最大障碍（见图4）。资源/技术差距升级旧系统和升级成本变革文化阻力不知道从哪里着手和/或怎样做才最好高管支持我们的网络风险损失不会超过投资成本业务领导人网络安全领导人认为，保护旧技术（29%）和变革文化阻力（25%）紧随其后。在这一点上，业务领导人的看法出现了很大分歧，分别仅有14%和8%认同网络安全领导人的看法（图4）。不管是保护旧技术障碍，还是变革文化阻力障碍，都源于资源和技术差距障碍。在网络安全领导人看来，只有人才和技术能解决这些问题。但业务领导人并不急于解决这些问题，因为维持网络弹性不是其工作重点。随着各机构纷纷使用生成式人工智能和其他新兴技术，保护旧技术的障碍会越来越大。大多数机构要么不升级旧系统，要么升级旧系统的速度严重慢于引入更多工具和新技术的速度，结果导致旧技术应用范围扩大，风险也因此增大。更重要的是，大型机构被大而旧的技术拖累，无法帮助和监控供应链中的小型机构。如此一来会影响生态系统中的援助机制，资源和技术差距也会越来越大。（二）新兴技术与网络弹性状况网络弹性是在谨慎规划的基础上，机构经历长期的发展变革逐步建立起来的。但是，网络安全领导人往往疲于应对即将发生的网络攻击，因为这些事会分散其在核心工作上的注意力。尽管阻碍不断，但接受调查的机构都表示，只要有一定程度的策略耐心，谨慎地落实网络弹性举措，肯定会产生正面影响。当然，新兴技术的快速发展也确实带来了新的安全问题。但很多参与研究的网络安全领导人认为，只要将重点放在经过验证的网络弹性举措上，就可以及早发现并降低风险。具有网络弹性的机构的相应反馈也证明了这一点。最重要的是，在过去三年，表示对自身企业网络弹性有信心的领导人数量逐年稳步上升，比2022年增加了20%。在今年的《展望》报告中，绝大多数领导人（81%）表示，感觉与去年相比，企业遭受了更多实质性的网络犯罪威胁。但飞塔公司（Fortinet）年度威胁报告显示，每个机构遭受攻击的次数减少了75%。飞塔公司指出，受到网络犯罪影响的程度不与攻击次数直接相关。虽然表面上网络犯罪呈现下降趋势，但实际是因为防御方的攻击检测能力有所提高，并且网络罪犯锁定并精确打击目标的能力增强。在2023年底召开的世界经济论坛网络安全年会上，网络安全领导人们在研讨会期间指出，随着网络罪犯使用攻击速度更快、水平更高的网络犯罪新技术，网络安全领导人应继续重视网络弹性基本要素，并可从中获益。维持网络弹性基本要素包括，维持领导层支持，将网络安全纳入企业风险管理，持续进行文化与结构变革以适应新技术。（四）业务领导层与网络弹性状况安全管理人员在2023年《展望》报告中表示，他们在业务中更加重视网络弹性水平。业务高管的网络风险认知水平和网络犯罪认知水平的提高，是其更加重视机构网络弹性能力的原因。业务领导人已能更好地认识到重大网络攻击可能对其运营、商业关系和声誉造成损害。网络弹性与对其首席执行官的信任紧密相连。今年，93%的受访者认为，其机构在网络弹性方面是领导者和创新者，相信其首席执行官有对外协调其网络风险问题的能力（见信任首席执行官对外协调网络问题的能力信任首席执行官对外协调网络问题的能力图5）。在自称具有网络弹性的机构中，没有网络安全领导人表示，担心其首席执行官在对外协调其网络弹性状况时存在问题。高高低在认为所在机构不具备网络弹性的受访者中，77%不信任或不确定其首席执行官是否了解内部网络风险问题。领导层参与网络风险管理的机构更具有网络弹性。网络安全主管是否信任首席执行官负责与外部合作伙伴协调网络弹性问题，是衡量最高管理层网络风险管理参与度的指标。一个机构中，相信首席执行官能就本机构网络弹性态势侃侃而谈的人越多，其具备的网络弹性就首席执行官的网络风险意识越来越高。埃森哲公司（Accenture）的《首席执行官网络弹性报告》显示，约74%的首席执行官担心，其机构不能避免或不能降低网络攻击对其造成的业务损害。领导层正在利用网络事件（29%）以及报告和统计数据（24%）指导和影响其网络安全决策。这表明，相当一部分机构领导人正在学习和利用之前只有网络安全领导人或主题专家才会使用的资源，使其网络安全决策专业化。为在整个企业范围内提高网络弹性的重要地位，应将网络弹性全面纳入企业风险管理。约78%对自身网络弹性有信心的企业受访者表示，已将网络弹性纳入其企业风险管理。65%的网络安全领导人和57%的业务领导人称，已将网络弹性纳入其企业风险管理。网络弹性与对高层的信任程度之间的关系表明，跨部门参与和最高管理层的支持非常重要。此外，领导层支持、业务整合与生态系统协作的基本概念恰恰是提高网络弹性的最强动力。网络弹性之路道阻且长，但行则将至。迄今为止，整体机构的网络弹性已经有了很大进步。但是，只有22%的受访者对网络治理和文化将在未来两年内得到改善这一想法持乐观态度。去年，约40%的公共机构受访者遭受过严重的网络攻击。虽然高收入机构和公共机构整体上的网络弹性程度更高，但也更容易遭受网络攻击。公共机构在认识到，只有数字生态系统中的中小型企业弹性增强，整个系统的弹性才能增强后积极采取了相应行动。欧盟建立了欧洲网络安全能力中心（ECCC旨在通过新框架、新研究和信息共享建立更强大的网络安全态势。然而，还有一个关键管理问题仍待解决，这也是一个核心的数字生态系统信任问题：技术开发商和用户之间的安全责任划分明显不均衡。多年来，各机构和个人一直主要负责确保其所用硬件和软件在执行、操作和维护方面的安全性和灵活性。事件发生后，补救和恢复责任，以及相关经济责任由用户承担。这种情况表明，虽然在过去20年，科技和网络安全行业发展迅猛，但与更成熟的消费品行业相比仍不成熟，且发展过程中还存在诸多阻这是一个有争议性的话题，引发了关于细微差别方面的讨论。今年的调查、访谈和研讨会都表达了在权衡责任方面的共识。最常见的观点是，将全部责任简单转嫁给科技公司行不通，消费者必须继续在维护网络信任方面发挥适当作用。各机构也正在努力建立对领导层信任，并强调机构整体网络弹性的重要性。除此之外，公共部门和私营部门之间的合作也在不断增加，以帮助自身没有资源的机构达到同等程度的弹性水平，并努力提高产品在投入使用初期和使用过程中的安全性。这些因素共同作用，可以消除不同规模机构之间的差距，提高生态系统能力，使所有人受益。六、构建更好的网络生态系统各机构、供应商、保险公司和监管机构之间的合作是构建更安全网络环境的关键因素。系统网络弹性的关键指标包括，行业合作数量和质量、法规有效性和清晰度、网络保险市场成熟度和可及性，以及机构对自身供应链和第三方网络风险的认识程度。（一）网络协作是停滞不前还是更加成熟？只有23%的领导人对行业和生态系统合作将在未来两年内显著改善这一设想持乐观态度。与业务领导人（17%）相比，网络安全领导人（29%）对行业和生态系统合作前景会更好这一设想更为乐观。今年的《展望》报告显示，机构生态系统中的合作伙伴，都有各自的观点和动机，既是最大资产，也是构建更安全、更具弹性和可信赖数字化未来的最大障碍。（二）有效监管可以提高整体水平从机构管理层对网络法规的态度中，能够清晰看出近年来业务和网络领导人对公私部门关系看法的转变。60%的私营机构领导人认为，网络和隐私保护法规有效降低了其机构的生态系统风险，这一比例高于2022年的39%。同样，65%的公共机构领导人也认同这一说法。尽管法规可有效促进生态系统发展，但仍有34%的领导人表示，各国之间存在很多法规相互冲突的问题。只有7%的领导人认为法规要求在技术上很难满足。保险与法规类似，在降低和控制整个生态系统风险方面也发挥着重要作用。任何网络弹性策略都无法避免经济损失，而网络保险就是可抵消经济损失的重要手段，而且在许多情况下，还可以有效帮助确保网络安全投资的充分性和有效性。但是，自2022年以来，购买网络保险的机构数量总体已经下降了24%，2023年的专家研讨会反馈表明，即使是大型机构，有时也无力负担网络保险费用，不如将网络安全预算花在其他更有用的方面。有人呼吁提高保险业透明度，尤其是要公开费率制定方式，并通过降低保费刺激网络保险市场。解决成本暴涨问题需要行业内部合作，也需要与相关民间团体合作。无论哪种方式，行业保险购买方和提供方之间为提高生态系统弹性的合作，都将有利于市场，并有助于发展生态系统的基本网络弹性能力。正如弹性保险公司联合创始人