日前,世界经济论坛2024年年会在瑞士小填达沃斯再次召开,论坛关注全球经济与发展走势的同时,每年都会同步关注网络安全在其中发挥的关键作用。在本届达沃斯年会上,会议先是发表了《2024年全球风险报告》,报告对网络安全风险进行了宏观定义,随后论坛又如期发布了《2024年全球网络安全展望》,以研究未来一年将全面影响经济和社会的网络安全趋势。
《2024年全球网络安全展望》报告由世界经济论坛与埃森哲联合发布,报告内容基于2023年6月至10月期间来自49个国家的广泛调研,并进行了多轮讨论最终定稿。报告介绍了今年组织实体对网络安全问题的研究结果和看法,并审查了这些问题对未来的深远影响。
《2024年全球网络安全展望》主要披露延伸解读如下:
• 全球网络安全不平衡状态严重
报告提出网络安全经济概念,以形容过去两年来网络安全与全球经济之间的逻辑关系。其确认的是2022年,全球网络安全经济增速是世界经济的两倍,到了2023年,增长速度达到了四倍。其中报告想要重点体现的是拥有足够网络安全建设并蓬勃发展的组织,与那些为生存而战的组织之间,其网络安全鸿沟正越来越大,这种网络安全不平衡的状态最终威胁到整个生态系统的完整性。
报告也阐述了影响这种不平衡性的两点主要因素,结合报告总体阐述的其他内容,其最大的问题就是“网络贫困”问题。组织在没有足够的资金支持下,将无法获得足够的安全服务并吸引安全人才。而这一问题与现实世界贫困问题相一致,甚至将相互影响使这种不平衡性进一步扩大。与其相反的是,生态系统的另一端正在积极地采用最新的技术,两者之间的鸿沟也将越拉越大。
具体的数据上,在低收入组织当中,缺乏足够的网络安全投入至2022年以来上升了32%,在高收入组织当中,虽然他们并没有认为当前投入远超运营所需,但他们的网络安全方面的信心同样上升了32%。数字生态系统之间必然存在交织,如此发展下去将弊大于利。报告也总结了另外一个观点,那就是当前的安全解决方案可能过于复杂,以至于许多中小企业难以运营,更不用说其本身还拥有高昂的成本。
报告认为要解决这一问题,可以考虑在组织、部门乃至国家层面,根据其对网络挑战的不同反应,划分为明显的领导者和掉队者。对于不同规模的组织而言,应为大型跨国公司和中小企业设计适合当前风险,但又能够令其自身负担得起的网络安全框架,以解决整体安全鸿沟越拉越大的事实。
• 地缘政治和技术转型加剧安全威胁
地缘政治问题一直是各组织商业领袖关注的全球重要风险之一,报告调研的绝大多数受访者都表示,他们正在通过增加威胁情报的收集以进一步制定事件应对计划来调整网络安全战略。地缘政治带来的网络安全风险是全面的,去年报告主要关注的是可能会爆发的大规模冲突,其伴随的网络战,以及供应链安全风险。
今年报告阐述了另外一个重要事实,那就是2024年将有超过45个国家将面临新的选举,以确定由谁来管理未来世界50%以上的GDP。地缘政治问题本身的加剧,也将带来新的网络安全问题。比如随着人工智能等新技术的扩散,以及“对手”对这些技术的滥用,如何保障公正性选举将变得至关重要。深度伪造的音视频、错误虚假信息、广告的定向投放、社交媒体的算法操纵,都是新技术带来的新问题。
过去人们常说一项网络安全标准从起草到决议通过往往需要数年,而攻击只需要数秒钟时间。报告就指出,组织全面的技术转型,新兴技术的使用率比以往更广泛更快速,这种对技术的快速吸收,已经超过了社会、监管机构乃至企业自身实施的安全保障能力。
以生成式人工智能技术为例,调研受访者都认为其将在未来对网络安全产生最大影响。其影响通常来自技术本身的不成熟滥用,另外未来两年,该技术也将使网络攻击者比防御者更有优势,至少大家共同的反馈是由该技术开发的新型攻击已经出现,而技术在防御一侧还处于初级应用探索阶段。
• 网络安全技能短缺严重 缺少人才是最大问题
去年的报告就关注到了网络人才招聘和留存仍然是管理网络安全的关键挑战,今年这一问题再次被提出。《2024年全球网络安全展望》指出,2022年,6%的领导人报告称他们缺少应对网络安全事件所需要的技术和专业人员,到了2023年,这一比例翻了一倍,达到了12%。
摆在公司高管面前的问题是,在不断发展的网络安全环境中,加之不确定性的经济发展大环境,吸引和留住网络安全人才是未来发展的关键。但数字化发展速度之快,与之相匹配的专业人才少之又少,超过一半的受访者认为这种人才短缺,将使组织置于遭受网络安全攻击的中等至极端风险当中。
现实当中,人才问题也是影响网络安全整体不平衡的因素之一,其中小型低收入组织往往因为支付不起能够与行业相“匹配”的薪资预算,即使他们能够接触到优秀的人才,其与大规模高收入公司相比,始终不具备竞争力。如果企业不想摆烂的话,当前的做法是寄希望于内部挖掘相应人才,而技能培训是这一条路径的必然选择,这也预示着网安培训市场未来前景广阔。
• 新时代下网络安全 需与业务相匹配制定未来战略
当勒索软件攻击这一具象的高风险网络攻击肆虐全球,企业的领导者,也包括网络管理团队都给出相同观点,那就是网络安全事件造成的运营中断是不可接受的。所以,将网络安全纳入商业战略,并使网络风险管理与业务需求相一致,也成为大家的公认原则。
在这方面,组织不仅需要关注新兴技术的使用带来的全新风险,还需要关注旧技术或遗留系统,而这需要谨慎规划和长期承诺与实践。重点在于实践,其保持网络安全实践将有助于尽早发现和减轻风险。同时为提高企业的网络风险管理能力,将网络融入企业管理,并做出适应新技术所需的企业内部架构和文化变革至关重要。
网络安全未来也将与企业领导者的信任紧密相连,这反映的是领导者正越来越重视网络安全工作,并能够参与其中。对于网络安全状况较好的组织,来自领导者的重视也是工作顺利开展的前提。
报告还提出一些关键词,如治理恢复力、生态系统恢复力,这方面报告陈列了一些事实,也因此提出了一些新的问题。比如大型组织因自身攻击面较大,纵然当前没有发生网络安全事件,但他们也更有可能遭受攻击。问题在于网络安全问题也是数字生态系统问题,行业需要共享威胁情报,这又与部分法律规定相违背,比如安全负责人需要为安全事件承担责任,这为共享情报,披露具体安全事件带来阻碍。
当然报告也关注到了在这方面世界各国积极的一面。这方面以我国为例,《网络安全事件报告管理办法(征求意见稿)》就提出了相应的尽职免责条款。
• 良好的网络生态系统需多方共建
《2024年全球网络安全展望》报告重点强调,组织、安全供应商、保险公司和监管机构之间的合作,是建立良好网络生态系统的重要因素。做好这一点,需要找到他们之间的共同点,去年的报告强调了组织领导者认可合规是网络安全的重要推动力,而当前,监管条例越来越多,甚至可能存在冲突,这大大增加了组织的合规成本。
这个成本是两方面的,一个是为了达到全面的合规其投入的经济成本越来越高。另外,合规在技术上越来越难以满足,可能会出现表向合规真实“不合规”的情况。也就是说,监管必须以价值为取向,并且要考虑跨行业和地区的一致性问题。
今年的报告也肯定了保险业对于缓解风险的价值,但报告也观察指出,自2022年以来持有网络保险单的组织数据总体下降了24%。进一步的研讨指出了其背后的深层原因,其一是大型企业与其花钱投保,不如将这笔钱投入到安全建设当中。另外最近几年勒索软件攻击已是高发状态,导致投保成本连年飞涨。报告认为,保险应加强其风险管理手段,以将自身转变为一种驱动力。当然这对背后的保险科技力量来说是个不小的考验。
多方合作共建网络生态系统的重点更是在于在供应链领域开展合作,当前无需想象的是绝大多数组织没有注意到这方面的风险,注意到这方面风险问题的组织也无力开展相关工作。比如报告给出的数据显示,51%的领导者就反馈说,他们的供应链合作伙伴没有要求他们提供网络安全态势证明,超过60%的认为自身网络安全符合运营标准的领导者表示,他们对供应链安全了解仍然不足。
今年的报告与我们关注点相同,同样列举了MOVEit漏洞事件对全球上千组织造成的影响。实际上过去一年里发生的重大网络安全事件,41%的组织报告归因于第三方供应链所引起。报告引用施耐德全球CISO话术指出,大公司和中小公司之间的网络安全成熟度差距正不断扩大,造成了系统性供应链安全风险。全球公司必须在提高小型合作伙伴的门槛方面发挥重大作用,以防止他们成为威胁媒介。
• 呼吁建设一个更加安全的数字未来
世界经济论坛认为,地缘政治的不稳定性、快速发展的技术和组织网络能力差距的不断扩大,是加强建立安全和系统性全球合作的重要驱动力。参与报告调研的埃森哲认为,尽管商业高管认识到了网络安全的重要性并愿意改善,但国家、行业与部门之间的差距仍然巨大,其呼吁集体努力与创新,以建设一个更加安全、有弹性和值得信赖的数字未来。
今年的报告额外强调了数字经济发展对于网络安全的影响,其互联互通性正使得网络安全问题变得越来越重要,甚至影响到每一个人。因此,每一个人都需要共同努力,这既是紧迫需求也是最大责任。
评价世界经济论坛今年发布的“展望”报告,我们会看到更多的无奈,比如其侧面隐晦的表明了网络安全是个需要花钱才能解决的大问题,而中小企业在这方面即要控制现金流以解决经济不确实性下的生存问题,但因此也会造成全面的网络安全不平衡问题,进而导致供应链安全大问题。而解决这些问题除了金钱还有一项更为重要,那就是——时间。