【实事】——《2024网络安全报告》

2024年1月11日，世界经济论坛（WEF）与埃森哲（Accenture）合作发布《2024年全球网络安全展望》报告，报告探讨了将在未来一年影响经济和社会的网络安全趋势。报告提出，2024年应重点关注全球网络安全的5大趋势：

一是全球网络安全鸿沟日益拉大；二是地缘政治和技术转型加剧网络安全的挑战；三是网络技术和人才短缺问题严重；四是构建网络弹性的重要性日益提高；五是网络生态系统风险问题日益严重。元战略编译报告重点内容，为读者展望未来的网络安全提供参考。

一、前言

在不断变化的网络安全环境中，地缘政治的不稳定性、技术的飞速发展以及企业网络能力差距的日益扩大，都强化了建立网络弹性和实现系统化全球协作的必要性。世界经济论坛网络安全中心以2023年报告中概述的优先事项为基础，继续致力于缩小公共和私营部门之间以及网络和企业领导者之间的差距。具有网络弹性的企业与那些正在努力应对网络安全挑战的企业之间的差距正在逐渐扩大。展望2024年的挑战，报告阐明了主要发现，并重点关注网络不平等的扩大和新兴技术的深刻影响。本报告不仅使领导人认识到全球网络安全存在的问题，还请他们积极拥抱变革带来的机遇。报告呼吁共同努力和创新，以打造更安全、更有弹性、更值得信赖的数字网络的未来。

二、2024年全球网络安全的5大风险趋势

在快速发展的科技环境中，网络不平等问题迫在眉睫，这强调了加强公私合作的必要性。2023年，世界面临着两极分化的地缘政治秩序、多重武装冲突、对未来技术影响的怀疑和狂热，以及全球经济的不确定性。报告强调，在这种复杂的形势下，网络安全经济（cybersecurity economy）的增长速度远超全球整体经济的增长速度。但具有网络弹性的企业与处于困境的企业之间出现了明显的网络安全能力鸿沟，网络公平方面的这种明显差异加剧了威胁形势、行业监管等。其他出现的问题包括获取创新网络服务、工具、技能和专业知识的成本上升，这将继续影响着网络技术的发展。尽管存在各种问题，但许多企业都表示在网络能力的某些方面取得了明显的进步，展望2024年全球网络安全整体乐观，但也需要关注相关风险趋势，以下是2024年全球网络安全应重点关注的5大风险趋势：

01 全球网络安全鸿沟日益拉大

报告指出，2023年网络安全经济的增长速度达到了世界经济增速的4倍。网络安全经济是指在保护网络安全过程中的经济活动，涉及到网络安全基础设施的建设和维护。这种增长趋势也导致了网络安全发展的不平衡，拥有足够网络安全建设的企业与那些为生存而战的企业之间的网络安全鸿沟日益拉大。小型企业表示他们缺乏满足最低关键运营要求所需的网络安全投入，而此类小型企业是大型企业数量的两倍多。另一方面，大型、高收入的企业在网络安全方面投入更多，因此他们对自己的网络弹性更有信心。这种现象有时被称为“网络安全贫困线（Cybersecurity Poverty Line，CPL）”，一般是指确保一个企业的人员、技术和系统安全所需的高昂成本，但这种网络安全鸿沟远不止过高的成本。CPL表现出与现实世界的贫困状况非常相似的动态：仅仅提供资金或免费的专业知识并不一定能解决技术设计落后的问题。报告发现，虽然大型企业和中小型企业在网络弹性方面取得了显著进步，但保持最低水平网络弹性的企业数量下降了30%。此外，在世界经济论坛网络安全年会上接受调查的120位企业领导者中，90%的人表示，需要采取紧急行动来解决日益严重的网络安全鸿沟问题。

02 地缘政治和技术转型加剧网络安全的挑战

地缘政治问题备受世界各商业领袖关注，报告提到参与调查的70%的领导者表示地缘政治对其所在企业的网络安全战略产生了一定的影响。地缘政治因素对关键基础设施和全球供应链要素的攻击越来越令人担忧，地缘政治问题的激化会导致新的网络安全挑战，例如，随着人工智能等新技术的普及，使用深度伪造的音视频、错误和虚假信息定向投放广告、以及社交媒体上的算法操纵可能成为破坏选举程序的武器。此外，与过去相比，新兴技术的普及范围越来越广，速度也越来越快。这种技术的快速普及已经超过了民间社会、监管机构和政府组织实施网络安全保护的能力。报告显示，56%的领导者表示，在未来两年内，生成式人工智能将成为网络攻击者的工具。生成式人工智能聊天机器人使网络犯罪分子更容易创建可信的网络钓鱼电子邮件并编写自定义恶意软件。研究发现，新兴技术将会加剧与网络弹性相关的长期风险挑战，这反过来又会加速能力最强和能力最弱的企业之间的鸿沟。随着各企业竞相采用生成式人工智能等新技术，我们需要基本了解这些技术对其网络复原态势的近期、中期和长期影响。

03 网络技术和人才短缺问题严重

由于网络安全环境一直在发生变化，经济也不稳定，所以吸引和留住网络安全人才对组织来说非常重要。随着新技术进入数字网络世界，企业对专业人才的需求变得更多，但现有的专业人才远远不够。很多组织发现他们缺少有足够技能的网络安全人员来保护自己的网络。在所有企业中，只有15%的企业对未来两年网络技能和教育的显著改善持乐观态度。在低收入的企业中，有52%的领导者表示，缺乏资源和技能是他们在设计网络弹性时面临的最大挑战。为解决网络安全技能和人才短缺问题，提高决策者对网络安全技能的认知，世界经济论坛网络安全中心提出了“缩小网络技能差距”的倡议。该倡议采取多方参与的方式，利用行业领导者、政府机构、民间社会和学术界的不同观点，旨在创建一个战略性网络安全人才框架，并制定行动，帮助个人在网络安全工作中快速成长。

04 构建网络弹性的重要性日益提高

各企业和网络领导者必须继续投资，并保持对网络基本安全要素的认识。报告显示，45%的领导者最担心的是遭受网络攻击后的运营中断。将网络安全纳入企业的商业战略，并使网络风险管理与业务需求相一致，越来越多成为领导者们公认的原则。世界经济论坛对治理网络风险达成了六项原则，包括将网络安全作为战略性业务的推动因素；建立和维护核心安全基础；了解网络风险的经济驱动因素和影响；将网络弹性治理纳入业务战略；使网络风险管理符合业务需求；确保企业能够支持网络安全。研究发现，29%的企业在过去12个月中受到了网络事件的重大影响。大型企业表示，网络弹性的最大障碍是改造传统技术和流程。此外，网络弹性与首席执行官的参与之间存在着明显的联系。93%的受访者认为其企业是网络弹性方面的领导者和创新者，他们信任其首席执行官对外谈论网络风险的能力。而在不具备网络弹性的企业中，只有23%的受访者相信其首席执行官有能力谈论其网络风险。

05 网络生态系统风险问题日益严重

企业、供应商、保险公司和监管机构之间的合作是建立更安全的网络环境的重要因素。当一个企业在与供应商、监管机构、政府机构和行业同行的关系中找到共同点时，它就会创造一个更具弹性的数字网络环境。对于任何企业而言，其生态系统中的合作伙伴既是最大的资产，也是实现安全、弹性和可信数字未来的最大障碍。研究发现，在过去12个月中发生重大事故的企业中，41%表示事故是由第三方造成的。54%的企业对其供应链中的网络漏洞了解不足。60%的领导者认为网络和隐私法规能有效降低企业网络生态系统中的风险。23%的领导者认为行业和网络生态系统的合作将在未来两年内得到显著改善。与监管机构的作用类似，保险行业在减轻和控制整个生态系统的风险方面也发挥着重要作用。网络保险可用于支付任何网络抵御战略中不可避免的经济损失，并为确保对网络安全进行充分有效的投资提供重要支持。然而，自2022年以来，持有网络保险的组织总体下降了24%，部分原因是成本问题及投资安全预算的优化需求。供应链最需要协作的领域之一，但有54%的企业对其内部的网络漏洞缺乏了解，且供应链的合作伙伴往往没有提供网络安全状况证明。2023年6月发生的MOVEit黑客攻击事件显示了供应链安全的重要性，凸显了行业间、公私部门以及与保险公司间的协作对于提高网络生态系统中整体网络安全的重要性。

三、结语

为保持高质量甚至足够的网络弹性而进行的斗争正迅速成为企业之间的一场零和博弈。提高最佳实践的能力、争夺人才的能力，以及在某些情况下仅仅是选择正确工具和服务的能力，正日益决定着哪些企业能够胜出，哪些企业会败下阵来。一个安全的供应链需要所有企业共同努力才能实现真正安全的网络生态系统，目前网络安全的差距使供应链变得十分脆弱。尽管如此，我们也必须做出改变，否则就会像2023年所看到的那样，领先的企业提早采用新技术，落后的企业努力跟上信任和安全基础能力的步伐，以及网络生态系统内分散的激励机制，这些都将在未来几年加速数字鸿沟。此外，数字经济的相互关联性使其产生的负面影响复杂化，并影响到每一个人。因此，企业需要提高面向未来的可持续能力，包括制定正确的优先事项和企业文化，提供公平获取人才、技术和安全工具的机会等，以增强其网络弹性。

内容来源：世界经济论坛官网

文章题目：Global Cybersecurity Outlook 2024

链接：

https://www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2024.pdf