日前,世界经济论坛2023年年会在瑞士再次召开,论坛关注全球经济走势的同时,每年都会同步关注网络安全在其中发挥的关键作用,在本届达沃斯年会上也如期发布了《2023年全球网络安全展望》,以研究未来一年将全面影响经济和社会的网络安全趋势。
《2023年全球网络安全展望》报告由世界经济论坛与埃森哲联合发布,报告介绍了今年组织实体对网络安全问题的研究结果和看法,并审查了这些问题如何影响世界各地的组织。《2023年全球网络安全展望》主要研究结果包括:
• 网络威胁的特征发生了变化。受访者现在认为,网络攻击者更可能专注于扰乱业务和损害声誉。这是受访者最担心的两个问题。
(在这方面,勒索软件攻击最具代表性,大范围的攻击将导致受害组织业务陷入停顿,可能会导致的数据泄露将进一步影响组织商业声誉,大型组织遭遇勒索本身也会造成广泛的社会面舆论影响。各安全机构都认为,过去几年是勒索软件流行年份,今年也不会例外,针对业务安全性强化网络安全建设势在必行。)
• 全球地缘政治的不稳定有助于缩小商业和网络领导者对网络风险管理重要性的看法差距,91%的受访者认为,在未来两年内至少有可能发生影响深远的灾难性网络事件。
(地缘政治问题是各组织商业领袖在2022年最为关注的一项重要风险,其与新冠疫情相交织,成为未来阻碍企业全球化商业发展的拦路虎。俄乌冲突以来,带来了全面的网络安全新风险,其表象为国家级和社会面的网络战,同时连带影响与其相关的商业组织的网络安全性。伴随着可能性的冲突升级,商业组织需要不断评估与其相关的网络安全风险,其中供应链安全以及数据安全都是核心关注点。)
• 许多组织正在进行大型数字化转型项目。将新兴技术添加到传统IT中会增加组织数字环境的复杂性,这也带来了网络安全风险。领导者难以平衡新技术的价值和组织中网络风险增加的可能性。
(报告提出全面的数字化转型带来了云技术的全面普及,同时AI和机器学习技术现在更多的被组织所采用,新技术的采用将大大增加组织数字环境的复杂性,并突出了在数字化转型过程的所有阶段嵌入网络风险管理的必要性。此前,各级商业领袖也大多表达了这一观点,网络攻击的增幅几乎与数字化转型的速度成正比,其中风险点就是业务环境的变化,以及新技术的大量采用,但对安全风险的可见性控制方面没有同步跟进的担心。)
• 对于新兴威胁的担心,专业的网络犯罪集团继续增长,并创造了更多的新攻击类型。
(这展现了网络安全是不断变化一种担心,报告指出,攻防两端攻击者往往更具优势,他们只需要找到组织中一个可利用的弱点,就可以完成攻击,而组织作为防守者,就需要更快的适应速度。组织现在更加需要协同顶尖的安全力量,用以强化对新兴威胁的广泛应对与措置。)
• 组织高管现在更有可能将数据隐私法律和网络安全法规视为降低整个行业网络风险的有效工具。与《2022年展望报告》相比,这是一个显著的观念转变。尽管合规方面存在挑战,但网络领导者承认,监管激励了亟需的网络安全行动。
(合规一直是网络安全的重要推动力,这方面在各个国家都是如此,但今年的报告肯定了合规价值,比如76%的商业领袖同意进一步的执行合规将提高他们组织的网络弹性。但报告也指出了其中的明显问题,比如一项法规的建立往往需要两年时间,技术标准化需要18个月时间,而攻击者需要的时间可能只是几秒种。过去几年合规方面对于商业组织的最大挑战其实还是数据安全,各地区的数据安全隐私安全不断完善,对商业组织是一个巨大挑战,这也要求建立投入更多资源,让其防御机制不止合规,才能达到组织的商业避险目的。)
• 56%的安全负责人现在每月更频繁地与组织管理层会面。这正在迅速缩小网络安全认知差距。然而,还需要做更多的工作来促进业务和安全团队之间的理解,以支持组织领导人采取有效的行动。
(商业组织的管理层在过去几年对于网络安全的理解正在加速,并普遍认为网络安全是一个关键的商业推动因素。基于这一理解,具有远见的商业组织正在加大产品和服务在网络安全上的必要投入,从而领先于竞争对手。网络安全管理人员甚至已经加入了组织的管理层,从而将网络安全引入战略性商业讨论。其带来的是企业文化的改变,和全面嵌入安全的标准建立。)
• 供应链风险将是未来的重要挑战。
(商业组织过去只关注自身的网络安全弹性建设,而过去的一些安全事件表明,供应链安全将是未来企业的核心挑战点。一些典型的案例对于企业的IT服务带来的影响具有不可预测风险,企业现在需要准备更多,才能避免这方面的挑战。这方面的影响对于中小企业在今后的商业发展上要求是苛刻的,他们必须向其商业链上游保证其安全性,不然可能会被淘汰。)
• 网络人才招聘和留存仍然是管理网络安全的关键挑战。
(网络安全人才的广泛缺失一是行业广泛讨论的话题,虽然各国政府都在加强网络安全人才教学,但全球仍然面临超过300万专业人才缺口。人才缺口问题还表现在网络安全技术的不断变化,网络安全更贴近实战,并且不同行业还有更加具体的和复杂的技能要求,这对网络安全人才建设提出的挑战不是一般的大。人才招聘是一方面,人才留存是另一方面,这方面的担心也是多重的,比如网络安全人才的薪资不断提升。)
• 网络安全最大挑战是“时间”。
(报告引用埃森哲安全主管Jaky Fox的话术描述了网络安全弹性的最大挑战:“在许多组织中,网络弹性的最大障碍之一是时间。”报告输出观点认为,打破这一挑战将需要协调一致的沟通和协调一致的风险驱动的改进工作。这一观点再次展现了其对网络安全极为复杂的终极评价,安全不能一蹴而就,需要脚踏实地,有规划地并具有推动力地持续建设。)