在近日举行的世界经济论坛 (WEF)上,发布了《2024 年全球风险》报告和《2024年全球网络安全展望》两份重磅报告,分别揭示了全球经济今年和未来几年可能面临的一些关键风险和问题,以及网络安全与全球经济之间的逻辑关系。
2024年全球风险报告
今年的报告分析了影响全球风险的四种结构性力量:气候变化、人口鸿沟、技术加速和地缘战略转变。报告揭示了2024年面临的主要风险。
三分之二的受访者将极端天气(66%)作为2024年面临的最大风险。厄尔尼诺现象预计将加强并持续到今年5月.3这可能会继续在高温条件下创造新的记录,预计会出现极端热浪、干旱、野火和洪水。
由人工智能产生的错误信息和虚假信息(53%)以及社会和/或政治两极分化(46%)紧随其后,排在第二和第三位。
生活成本危机(42%)和网络攻击(39%)仍然是整体前景的主要关注点,并分别成为政府和私营部门受访者关注的三大问题。
但四分之一的受访者(25%)将地区武装冲突的升级或爆发列为2024年的五大风险之一,并指出了更广泛的担忧。
?
错误信息和虚假信息被列为未来两年最严重的全球风险,其他主要短期风险包括极端天气和社会两极分化,网络安全问题位列第四。
在接下来的十年中,恶化最快的全球风险是地球系统的重大变化以及生物多样性丧失和生态系统崩溃,而极端天气事件是长期最严重的风险。
?
到 2034 年,环境风险将是最令人担忧的,按严重程度划分,环境风险占十大风险中的五个。错误信息的技术风险和人工智能技术的不利后果也仍然占主导地位。人工智能有可能对社会造成高度不稳定,由于其作为“力量倍增器”的作用而带来一些生存风险,这意味着它可以增强一个国家的军事系统、数据分析和其他能力的影响。
《2024年全球网络安全展望》
报告提出网络安全经济概念,以形容过去两年来网络安全与全球经济之间的逻辑关系。其确认的是2022年,全球网络安全经济增速是世界经济的两倍,到了2023年,增长速度达到了四倍。其中报告想要重点体现的是拥有足够网络安全建设并蓬勃发展的组织,与那些为生存而战的组织之间,其网络安全鸿沟正越来越大,这种网络安全不平衡的状态最终并威胁到整个生态系统的完整性。
报告也阐述了影响这种不平衡性的两点主要因素,结合报告总体阐述的其他内容,其最大的问题就是“网络贫困”问题。组织在没有足够的资金支持下,将无法获得足够的安全服务并吸引安全人才。而这一问题与现实世界贫困问题相一致,甚至将相互影响使这种不平衡性进一步扩大。与其相反的是,生态系统的另一端正在积极地采用最新的技术,两者之间的鸿沟也将越拉越大。
具体的数据上,在低收入组织当中,缺乏足够的网络安全投入至2022年以来上升了32%,在高收入组织当中,虽然他们并没有认为当前投入远超运营所需,但他们的网络安全方面的信心同样上升了32%。数字生态系统之间必然存在交织,如此发展下去将弊大于性。报告也总结了另外一个观点,那就是当前的安全解决方案可能过于复杂,以至于许多中小企业难以运营,更不用说其本身还拥有高昂的成本。
报告认为要解决这一问题,可以考虑在组织、部门乃至国家层面,根据其对网络挑战的不同反应,划分为明显的领导者和掉队者。对于不同规模的组织而言,应为大型跨国公司和中小企业设计适合当前风险,但又能够令其自身负担得起的网络安全框架,以解决整体安全鸿沟越拉越大的事实。
??地缘政治和技术转型加剧安全威胁
地缘政治问题一直是各组织商业领袖关注的全球重要风险之一,报告调研的绝大多数受访者都表示,他们正在通过增加威胁情报的收集以进一步制定事件应对计划来调整网络安全战略。地缘政治带来的网络安全风险是全面的,去年报告主要关注的是可能会爆发的大规模冲突,其伴随的网络战,以及供应链安全风险。
今年报告阐述了另外一个重要事实,那就是2024年将有超过45个国家将面临新的选举,以确定有谁来管理未来世界50%以上的GDP。地缘政治问题本身的加剧,也将带来新的网络安全问题。比如随着人工智能等新技术的扩散,以及“对手”对这些技术的滥用,如何保障公正性选举将变得至关重要。深度伪造的音视频、错误虚假信息、广告的定向投放、社交媒体的算法操纵,都是新技术带来的新问题。
过去人们常说一项网络安全标准从起草到决议通过往往需要数年,而攻击只需要数秒钟时间。报告就指出,组织全面的技术转型,新兴技术的使用率比以往更广泛更快速,这种对技术的快速吸收,已经超过了社会、监管机构乃至企业自身实施的安全保障能力。
以生成式人工智能技术为例,调研受访者都认为其将在未来对网络安全产生最大影响。其影响通常来自技术本身的不成熟滥用,另外未来两年,该技术也将使网络攻击者比防御者更有优势,至少大家共同的反馈是由该技术开发的新型攻击已经出现,而技术在防御一侧还处于初级应用探索阶段。
??网络安全技能短缺严重 缺少人才是最大问题
去年的报告就关注到了网络人才招聘和留存仍然是管理网络安全的关键挑战,今年这一问题再次被提出。《2024年全球网络安全展望》指出,2022年,6%的领导人报告称他们缺少应对网络安全事件所需要的技术和专业人员,到了2023年,这一比例翻了一倍,达到了12%。
摆在公司高管面前的问题是,在不断发展的网络安全环境中,加之不确定性的经济发展大环境,吸引和留住网络安全人才是未来发展的关键。但数字化发展速度之快,与之相匹配的专业人才少之又少,超过一半的受访者认为这种人才短缺,将使组织置于遭受网络安全攻击的中等至极端风险当中。
现实当中,人才问题也是影响网络安全整体不平衡的因素之一,其中小型低收入组织往往因为支付不起能够与行业相“匹配”的薪资预算,即使他们能够接触到优秀的人才,其与大规模高收入公司相比,始终不具备竞争力。如果企业不想摆烂的话,当前的做法是寄希望于内部挖掘相应人才,而技能培训是这一条路径的必然选择,这也预示着网安培训市场未来前景广阔。
??新时代下网络安全 需与业务相匹配制定未来战略
当勒索软件攻击这一具象的高风险网络攻击肆虐全球,企业的领导者,也包括网络管理团队都给出相同观点,那就是网络安全事件造成的运营中断是不可接受的。所以,将网络安全纳入商业战略,并使网络风险管理与业务需求相一致,也成为大家的公认原则。
在这方面,组织不仅需要关注新兴技术的使用带来的全新风险,还需要关注旧技术或遗留系统,而这需要谨慎规划和长期承诺与实践。重点在于实践,其保持网络安全实践将有助于尽早发现和减轻风险。同时为提高企业的网络风险管理能力,将网络融入企业管理,并做出适应新技术所需的企业内部架构和文化变革至关重要。
网络安全未来也将与企业领导者的信任紧密相连,这反映的是领导者正越来越重视网络安全工作,并能够参与其中。对于网络安全状况较好的组织,来自领导者的重视也是工作顺利开展的前提。
报告还提出一些关键词,如治理恢复力、生态系统恢复力,这方面报告陈列了一些事实,也因此提出了一些新的问题。比如大型组织因自身攻击面较大,纵然当前没有发生网络安全事件,但他们也更有可能遭受攻击。问题在于网络安全问题也是数字生态系统问题,行业需要共享威胁情报,这又与部分法律规定相违背,比如安全负责人需要为安全事件承担责任,这为共享情报,披露具体安全事件带来阻碍。