《2023年全球网络安全展望》：全球网络格局四大影响因素

2023年1月16日至20日，第53届世界经济论坛在瑞士东部小镇达沃斯拉开帷幕，网络安全成为主要话题之一。世界经济论坛联合埃森哲公司共同发布了《2023年全球网络安全展望》报告，预测未来一年影响全球经济和社会的网络安全趋势，以及企业如何应对日益严峻的网络安全威胁。

(相关资料图)

报告认为如今“执行层面”的网络风险正在激增，因此以“网络韧性”为出发点。提出从全球网络格局、网络安全管理及其变化、以及对未来的展望和建议等角度，深入思考网络安全，从而确保业界的共同韧性。

世界经济论坛发布《2023年全球网络安全展望》

编译：网安观察员 季語川晴

全文摘要

1.全球网络格局的4大影响因素：地缘政治，新兴技术，新式威胁，法律法规

2.网络安全管理3个要点：①网络韧性治理(供应链风险，在整个供应链中建立网络韧性，网络保险)；②领导层和管理层协同配合；③网络人才管理

3.未来展望与措施建议：协调网络安全需求与宏观发展战略；组织架构设计；打造安全文化-将网络安全纳入绩效；吸纳多学科人才以缩小网络人才差距

4.评述：面临当前网络安全态势，政府公共部门和企业都需要将网络安全问题融入到日常风险管理之中，转变思维方式，建立长期、系统的网络韧性，一方面要关注网络响应和韧性技术，另一方面也要协调网络安全和日常业务的关系。

当前全球网络安全面临诸如地缘政治的不稳定、快速成熟和新兴技术、可用人才的缺乏以及监管机构越来越高的监管力度等众多重大挑战。

01

全球网络格局的四大影响因素

从全球网络格局层面来看，组织（本文指“机构、组织和企业”）间共享技术是趋势，但也存在依赖性和弱点，网络安全事件影响是跨组织和跨国界的，造成了系统性风险和蔓延的趋势。

从网络安全专家来看，开始重视组织数字化转型产生的变化和结果上，并同时关注对于共性技术的安全使用和新兴技术的变化；从组织决策层来看，关心新兴技术发展引发的网络攻击，同时关注网络安全法规的制定和合规性验证。

由于利益相关方面临的网络安全问题是共性的，网络高管、组织管理者和公司董事会进行更直接、更频繁的沟通，帮助各自应对网络安全问题和寻找解决措施，重点集中在以下四个方面：

1.1 地缘政治

全球地缘政治不稳定将在未来两年内引起影响深远的灾难性网络事件，且会对组织自身网络战略产生一定影响，这将导致业务可持续性和声誉损害。另外，地缘政治紧张局势可能导致网络威胁的波动性更大，恶意软件类型更加多样化，以及网络攻击者攻击的范围更广。

解决措施如下：一是是加强环境和数据的权限访问控制，并重新评估相关业务；二是使组织适应政治现实，与网络安全管理者关于网络威胁进行深入探讨；三是建立支持网络安全的组织架构，聚焦数字韧性合作；四是应用可信技术关注跨组织的网络安全、隐私、道德和透明度之间的作用；五是改善内部政策和规程，提高第三方网络安全控制的效能。

1.2 新兴技术

人工智能和机器学习、云技术和基于用户身份的访问管理等新兴技术将对网络风险战略产生巨大影响，其广泛使用将影响组织的网络风险，增加了数字环境的复杂性。

解决途径是：一是结合网络风险管理和数字转型制定战略；二是必须平衡新技术的价值和潜在网络风险，有准备地制定管理策略。

1.3 新式威胁

网络攻击者通过多种形式和动机，比如利用政治、技术和监管环境的变化寻找弱点，并快速进行攻击。同时专业化的网络犯罪集团继续增长，并创造了更多的攻击类型和产生了系统性影响，因此制定应对措施将花费大量的运营成本和时间。

整体解决思路是：将网络风险管理纳入整体风险管理、业务可持续性规划、财务、产品开发等多个活动，针对不同威胁环境制定战略应对措施。具体解决途径是：一是统筹评估威胁对组织的影响；二是缩短监测和评估周期，从每年一次缩短到每季度一次；三是加快转移网络资源的频次。最终使组织面对网络攻击时更具韧性。

1.4 法律法规

当前的法律法规在降低组织面对网络风险方面的成效甚微，其主要是确保合规而非组织安全活动，而合规性也没有很好贯彻。当前面临网络攻击的大环境背景下，监管被认为是最有效的措施。

具体解决途径是：有效执行监管要求，进一步提高其组织的网络韧性，提高供应链的网络安全质量，免受有针对性的附带损害。

02

网络安全管理的三大要点

网络安全是关键的业务推动因素，当前组织管理者在网络安全方面的重视程度已经超过了许多专业的网络安全管理者，主要体现在：

2.1 网络韧性治理的三个方面

过去的一年，越来越的组织管理者和网络高管将网络韧性治理纳入企业风险管理战略。标明在决策过程中已经非常重视网络安全议题，下一步就是要进行有针对性的架构设计。网络韧性治理主要针对以下问题提出针对性措施：

一是供应链风险。供应链风险是组织或国家之间分担风险的指标，影响重要日常业务。相关组织在与其关联的公司受到网络事件后，会承受一定的附带损害。因此支持企业、基础设施和社会的技术正变得越来越相互依存和脆弱。当共享服务或常用技术被网络攻击遭到破坏时，整个生态系统都会受到负面影响。

二是在整个供应链中建立网络韧性。跨部门、跨地区的组织在网络安全应对能力方面存在差异，规模较小的公司由于缺乏管理内部风险的措施，更容易受到影响。而对于大公司而言，需要把应对网络攻击当做形成网络韧性措施和支持包括小公司在内的供应链业务可持续发展规划的一部分通盘考虑，最终实现基于供应链的跨部门韧性措施一体化实施。

三是网络保险。网络保险是组织减轻网络事件损害的另一种方式。与供应链风险类似，组织的规模是组织是否拥有网络保险的决定因素。当前整个生态系统的网络韧性存在严重差距，需要在必要的行动中加入网络保险，以通过保险赔付的方式获得事后恢复。

2.2 获得管理层支持

领导层面（如网络高管和商业高管）对管理层的认识正在趋于一致，公司管理层在管理组织网络韧性方面发挥着关键作用，领导层面需要为董事会描述网络风险的经济驱动因素和影响；确定网络风险管理和应变措施。

具体落实到管理层，则需要将网络安全专业知识纳入董事会治理工作，并鼓励系统性的韧性和协作，主要措施包括：让供应链委员会介入数字转型、信息安全、业务可持续性和网络韧性等问题；向董事会有效传达网络风险，使董事会正确解读和理解风险，与业务和技术相联系，采取正确的措施保障自身安全。

2.3 网络人才管理

目前多数企业已经拥有网络人才和所需的技能，但对于能源等关键技术设施行业，仍然存在缺乏网络安全专业技能的人才。目前网络人才的招聘和保持仍然是所有组织面临的重大障碍，主要需要应对网络攻击所需的人员和技能，这需要相关组织管理者和网络专家达成共识，并采取必要措施进行解决。

03

对未来的展望与措施建议

3.1 网络安全与宏观战略的协调与沟通

一是有效传递网络安全信息。网络安全的领导和管理层有时难以将网络风险信息转化为组织缓解措施，这直接影响了企业的运营战略发展。此外，由于网络风险的量化评估也极其困难，通常无法识别关键风险点以有效应对。这就需要统筹考虑网络风险与创造价值的资产或流程，对资源进行有效分配，以缓解网络风险。

二是寻找信息共享的基础。需要为网络安全管理层和企业管理层就网络风险找到共同基础。组织管理者以此为基础调整其组织以适应地缘政治变化；另外在考虑个人网络安全时，组织管理者更关注身份盗窃、网络敲诈勒索和窃取数据或金钱等，这些在宏观和微观层面上都可以成为信息共享的基础。

三是形成可衡量的网络安全投资回报标准。相关专家表示将网络安全投资转化为明确回报非常困难，因为董事会感兴趣的三件事是风险、机会和成本投资。形成有效的可衡量的投资回报标准，才能推动相关业务进行发展。

3.2 组织架构设计：平衡投资效益与网络安全

网络风险管理方面，组织架构决定了网络风险讨论的频率和质量，以及对网络安全认识的清晰度、背景和理解。其中，首席信息官需要权衡投资技术和网络安全的比重，组织设计中关键的是，安全管理人员应可直接解除到高级行政管理层才有意义。

3.3 打造安全文化：将网络安全要求纳入绩效

安全文化根植于个人和组织的意识中，组织网络能力随着员工对网络风险的理解以及承担帮助管理网络风险角色和责任的能力而增长。组织应该考虑将运营网络需求的责任更多地转移到组织管理者身上，企业需要立即为缓解控制和未来发展做好准备，推动文化向安全方面转变。网络安全团队可以提供重要的见解，帮助组织引入网络风险方法，网络高管应该提出网络安全要求，业务部门可以将这些要求纳入关键绩效指标，打造良好的激励结构和文化。

3.4 缩小网络人才差距：广泛吸纳多学科人才

2022年网络安全专家的缺口为227万，网络安全人才招聘和保持仍然是网络管理韧性的关键挑战。通过提高待遇可使网络安全人才市场保持高流动率，但加剧了员工短缺的趋势。这是一个顽疾，但反过来说也可能拥有充分发展的潜力，因为网络安全涉及许多技术领域，需要广泛的技能和多样化的人才，不仅限于计算机科学或工程，也可以包括经济学、法学、心理学、社会学、传播学和媒体研究等学科，因此需要扩大人才库，促进网络安全技术发展的兼容性和多样性。

04

评述

面临当前网络安全态势，网络安全管理者和组织管理者都需要适应和改变思维方式，将网络问题更多地融入企业风险管理。建立长期、系统的网络韧性，需要关注网咯响应和韧性技术的发展方向，组织管理者各司其职审查组织设计，改善沟通，评估网络安全的长期风险，并注重打造安全文化和缩小网络人才差距，才能保障未来网络安全生态系统的可靠运营，这对所有公共和私营部门组织来说都是至关重要的。

原文地址：https://www.weforum.org/reports/global-cybersecurity-outlook-2023

文章内容编译自网络，本文观点不代表本公众号立场。欢迎交流讨论，批评指正。

标签： 网络安全 全球网络 风险管理