达沃斯论坛发布《2022年全球风险》报告再次强调网络安全
受疫情影响,世界经济论坛(达沃斯论坛)再次延期,但由该论坛每年发布的全球风险报告并没有被推迟,在前不久这份新发布的《2022年全球风险报告》中,讨论集中呈现的是疫情、气候这类长期风险,短期风险风险则集中在社会鸿沟、生存危机和心理健康状况恶化等方面。其中网络安全风险再次被报告提及,虽没有指名该风险为长期风险,但从世界构成来看,信息化伴随始终的网络安全风险也理应处于长期风险当中。
以下为报告原文网络安全相关部分内容译文:
《2022年全球风险报告》指出,政府、社会和公司越来越依赖于互联网来管理从公共服务到业务流程的一切,甚至日常杂货采购。随着信息技术的日益飞跃,也创造了更加复杂的网络威胁环境和越来越多的关键节点。随着社会不断向数字世界迁移,网络犯罪的威胁越来越大,经常给组织带来数千万甚至数亿美元的损失。成本不仅仅是财政方面的:关键的基础设施、社会凝聚力和精神健康也在增加处于危险之中。
数字化变革
在过去20年中,对数字系统的日益依赖极大地改变了社会的运作方式。新冠疫情导致的远程办公转移加快了平台和设备的采用,这些平台和设备允许与第三方云服务提供商、数据聚合商、应用程序编程接口(API)和其他技术相关中介共享敏感数据。这些系统虽然是强大的数据和处理工具,但对服务提供商的依赖程度更高。这项工作还推动了数字交换的发展从办公网络到住宅网络,住宅网络的连接设备种类较多,对网络入侵的保护较少。
与此同时,对基于使用多种协同工作的技术(包括人工智能(AI)、物联网(IoT)/机器人物联网设备、边缘计算、区块链和5G)的能力的需求正在增长。虽然这些能力为企业和社会提供了巨大的机会,使其能够以能够显著提高效率、质量和生产率的方式使用技术,但这些能力也让用户面临更高、更有害的数字和网络风险。
网络漏洞威胁
在广泛依赖日益复杂的数字系统的背景下,日益增长的网络威胁超过了社会有效预防的能力并对其进行管理。例如,有应链的数字化造成了新的脆弱性,因为这些供应链依赖于技术供应商和其他第三方,而这些第三方也面临着类似的、可能具有传染性的威胁。在2021年12月,在发现一个广泛使用的软件库(Log4J)中的一个关键安全漏洞的一周后,每分钟检测到超过100次利用漏洞的尝试。信息技术(IT)监测和管理软件也说明了传染暴露的可能性,它可以突破防御在关键的网络安全供应链中,如2020年末发生的太阳风猎户座攻击所示。与此同时,旧的漏洞仍然存在,许多组织仍然依赖过时的系统或技术。
恶意攻击正在肆虐,部分原因是漏洞不断增加,但也因为勒索软件行业的参与者几乎没有进入壁垒,引渡、起诉或制裁的风险也很小。2020年,勒索软件增长了435%,“勒索软件即服务”允许非技术罪犯执行攻击,这一趋势可能随着人工智能(AI)驱动的恶意软件的出现而加剧。事实上,黑客组织随时准备提供先进的网络入侵工具,以便借从利此类攻击中获利。此外,加密货币还允许网络犯罪分子在被发现或金钱追回的风险很小的情况下收取款项。
袭击本身也变得更具侵略性和广泛。使用勒索软件的网络威胁参与者正在利用更强硬的施压策略,同时也在追捕更脆弱的人目标,影响公共事业、医疗保健系统和各大中小企业。
除了简单地加密文件之外,还可以为客户提供服务;这些攻击包括数据泄漏和分布式拒绝服务(DDoS)攻击。黑客组织还将联系受害者的客户或合作伙伴,让他们敦促受害者支付赎金。提供的服务包括收集高管勒索信息。
世界经济论坛(World Economic Forum)85%的网络安全领导团体强调,勒索软件正在成为一种危险的日益增长的威胁,并对公共安全构成重大关切。在区域层面,在东亚和太平洋以及欧洲被列为前五大风险,而澳大利亚、英国、爱尔兰和新西兰四个国家被列为第一大风险。许多小型、高度数字化的经济体,如丹麦、以色列、日本、中国台湾、新加坡和阿拉伯联合酋长国也将风险列为五大担忧。
进一步思考
根据2019冠状病毒疾病爆发或自然灾害,网络安全团队和领导能力可能会被其他优先事项分散注意力,从而为攻击提供合适的时机。网络威胁行为者也在从受害者那里获取更高质量和更敏感的信息。
已经捉襟见肘的IT和网络安全专业人员正承受着越来越大的负担,这不仅是因为远程工作的扩展,还因为数据和隐私监管的日益复杂,尽管这些监管对于确保公众对数字系统的信任至关重要。
95%的网络安全问题可追溯到人为错误,而内部威胁(故意或意外)占所有违规行为的43%。一些公司将不可避免地升级现代化的信息系统,以更好地考虑内部风险。公司正在着手解决如何即不影响员工效率,又能锁定保护好自身的关键数据,鉴于网络安全至关重要,该项工作已迫在眉睫。
网络专业人士——世界范围内的缺口超过300万,网络安全的领导者、测试和保护系统的安全研究人员,以及安全技术意识培训人员等等,人才的缺失成为更大的挑战,网络安全专业人员的持续缺乏可能最终阻碍经济增长。
新的网络安全“民主化”举措,例如通过提供免费的网络安全风险管理工具,有助于填补小企业或其他机构的一些空白。
也有人担心,在技术层面的进步,如量子计算进一步发展可能强大到足以破解加密密钥,这会造成重大的安全风险,因为受这些密钥保护的金融、个人和其他敏感数据比比皆是。
各种形式的数字财产,如NFT艺术收藏和数字房地产可能进一步引诱犯罪活动。
对于试图防止网络攻击的政府来说,不同司法管辖区之间的零散执法机制继续阻碍着控制网络犯罪的努力。地缘政治裂痕阻碍了潜在的跨境合作,一些政府不愿或无法监管网络安全。
公司还必须在新的监管转变之前采取行动,因为各国之间的政治暗流/地缘政治紧张局势可能会加剧影响跨境数据流。这可能意味着将数据处理转移到可能允许针对数据隐私问题提供更好的客户保护。
不可承受的后果
过去多次发生的网络入侵事件值得重新审视,因为这些案例表明,对银行、医院、全球定位系统(GPS)或空中交通管制系统等具有战略意义的大型系统的破坏性攻击是多么严重。随着资源日益数字化,这一点也值得注意,是网络间谍攻击的高风险,这些攻击通常以知识产权为目标,并导致私营和公共部门组织的发展滞后和声誉扫地。
数字化和日益增长的网络威胁之间的互动也带来了无形的后果。“深度造假”的增长可能加深社会、企业和政府之间的不信任。例如,用来左右选举或政治结果。更具体地说,在最近的一个案件中,网络犯罪分子克隆了一名公司董事的声音,授权将3500万美元转移到欺诈账户。还有一个蓬勃发展的服务市场,其目的是操纵公众舆论,支持公共或私人客户,或损害竞争对手。
2021,英国互联网银行诈骗案的数量上升了117%,因为人们花更多的时间在网上购物。做好数字安全相关工作迫在眉睫。但是,这会导致运营成本的大幅增加,这对于中小型企业来说尤其具有挑战性。事实上,随着勒索软件索赔的频率和严重性不断上升,美国的网络保险定价在2021季度的第三上升了96%。随着网络威胁的持续增长,针对此类风险的保险将变得越来越不稳定,保险公司自身也将因试图遏制勒索支付而面临报复性攻击。
因此,当攻击发生时,企业要么被迫支付越来越高的赎金,要么遭受网络攻击的声誉、财务、监管和法律后果。影响破坏性网络攻击的后果可能会给那些未能投资保护其数字基础设施的企业带来财务上的灾难,特别是在某些情况下政府开始禁止支付赎金或惩罚不良的网络安全行为。
THE END
// 推荐阅读