WEF 的《2025 年全球网络安全展望》报告强调了技能差距、第三方风险以及企业和私营部门之间的复原力差异等主要挑战。
世界经济论坛(WEF)《2025年全球网络安全展望》报告研究了日益复杂的全球网络安全形势所带来的挑战和影响。
挑战主要来自新技术、犯罪分子日益老练(既有出于经济动机的犯罪团伙,也有与国家有关的犯罪团伙)、供应链延长、地缘政治紧张局势、监管规定以及持续存在的技能差距。主要影响是企业乃至国家之间缺乏足够的韧性。
网络安全弹性需求是该报告的主要主题。然而,挑战对不同层次的企业和国家准备程度的影响导致网络弹性存在巨大差异。
例如,根据 WEF 的数据,小公司的韧性正在下降。35% 的人认为目前韧性不足,但自 2022 年以来,这一数字增长了 7 倍。与此同时,大公司的韧性几乎下降了一半。
公共部门和私营部门之间也存在类似的差距。38% 的公共部门受访者表示弹性不足,而只有 10% 的中大型私营部门公司表示弹性不足。近一半的公共部门组织还表示,技能差距可能是主要原因;高于去年三分之一的组织。
WEF 同意这一技能评估:“所有这些挑战都因技能差距扩大而加剧,使得有效管理网络风险变得极具挑战性。”但所谓的“技能差距”是一个含糊不清的笼统说法,经常被用作借口。这并不是说没有技术人才,而是因为他们没有被雇用——可能是因为不愿意让那些不完全适合明确定义的职位、不具备适当的学历和经验、愿意接受较低的起薪的人来填补空缺。
不愿意或无力支付可接受的薪水来弥补技能差距,这主要是小型组织和公共部门的问题,而不是中型和大型组织的问题。
除了技能差距之外,缺乏弹性的主要原因是第三方风险管理、威胁形势的复杂性以及内部 IT 生态圈的复杂性(IT 和 OT的融合)。也许令人惊讶的是,缺乏事件响应准备只是小公司面临的一个主要问题。
WEF 报告的不足之处在于,它主要告诉我们安全行业已经知道的内容。这并不奇怪,因为它为安全行业提供的信息是从安全行业收集的。
例如,为了应对第三方风险,我们需要提高可见性并改善第三方风险管理(这并不是什么新建议)。我们需要采用新的人工智能技术来应对新的人工智能威胁(尽管两者可能已经相互抵消,导致人工智能制造商成为主要受益者)。我们需要加强监管合规性(尽管这样做会将资源转移到复杂且并不总是一致的国家、国家和国际要求网络中,而这本身并不能确保需要保护的东西)。为了实现经济复原力,我们需要采用网络保险(尽管保险行业从被保险人那里收取的钱必须多于支付给被保险人的钱)。
该报告于世界经济论坛于瑞士达沃斯-克洛斯特斯召开年会前一周发布,主要内容包括:321 名受访者完成的问卷调查、43 次与高管进行的一对一访谈、两次 90 分钟的研讨会,以及与参加 2024 年 11 月世界经济论坛网络安全年会的 170 名高管的讨论。
虽然这听起来令人印象深刻,但该报告主要来自一项调查;所有调查都存在类似的弱点:它们相当于来自所有相关人员中极小一部分人的主观意见。它并不像看上去那么令人印象深刻。例如,任何不了解网络安全复杂性和解决这些问题所需步骤的专业网络安全从业者都不应该成为专业从业者。
真正需要解决的问题既不是网络安全前景为何如此艰难,也不是网络安全前景如何如此艰难(我们已经知道这一点,也知道其原因),而是为什么公司未能(或不被允许)解决或缓解这些问题。而答案可能超出了网络安全专业人士的职权范围,而更多地属于世界经济论坛对全球经济状况的更广泛职权范围。
