图片来源：图虫创意

经济观察网 记者 李晓丹  11月8日，安永在第六届进博会发布《2023全球网络安全领导力洞察研究》报告。报告对来自美洲区、亚太区，以及欧洲、中东、印度及非洲区等25个国家和地区、11个不同行业的500名网络安全领导者进行了调研，其中包括250名首席信息安全官（CISO）。

调研结果显示，尽管网络攻击威胁不断增加，对网络安全方面的投资也在持续增长，但只有五分之一的首席信息安全官（Chief Information Security Officer，CISO）和高管团队认为他们的网络安全措施在目前是有效的，并且为未来做好了充分的准备。

此外，企业平均每年面临44起重大网络事件，但检测和响应较慢，有四分之三的企业需要六个月或更长时间才能检测和响应事件。与此同时，在过去五年中已知的网络攻击数量增加了约75%。预计到2031年，勒索软件造成的损失将从2021年的200亿美元增加到2650亿美元。新的、复杂的网络攻击者正在利用最新的技术作为武器提高攻击的速度和规模，由此对企业造成的财务、监管和声誉方面的影响正不断加剧。

调研结果还显示，2022年，65%的网络安全成熟型企业的平均检测时间（MTTD）为6个月或更短，而网络安全发展中企业只有27%能达到这一时间。网络安全成熟型企业对事件的响应速度也更快。67%的网络安全成熟型企业的平均响应时间（MTTR）为30天或更短，而网络安全发展中企业只有8%能达到这一时间。

调研还显示，网络安全成熟型企业的网络安全策略不仅能够保护企业，还能为其创造价值。他们更有可能意识到网络安全要素对企业应对市场机遇、推动转型和创新步伐所带来的积极影响。与其他企业的不同之处在于，网络安全成熟型企业在以下三个关键领域做出了不同的表现：迅速采用新兴技术，并利用自动化手段协调其网络安全技术和简化流程工作；具备针对性的网络安全策略以管理复杂的攻击面，包括云、本地和第三方；已将网络安全融合到组织的三个层面，包括高管团队、全体员工和网络安全团队。

安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰表示，根据安永在全球范围内的调研，网络安全成熟型企业占比为42%。安永在网络安全领域，为中国企业服务多年，就我们团队经验来看，自2016年《网络安全法》颁布以来，中国企业在网络安全领域取得了长足的进步，在部分高科技领域，中国企业在网络安全建设方面走在了世界的前沿。

“潜在攻击面太多”是企业网络安全策略中最常被提及的内部挑战。

“对于中国市场，这些情况可能更加明显。在数据出境管控日益严格的当下，越来越多的跨国公司迫于合规压力，开始在中国采取本地化的系统解决方案。”高轶峰表示，这些技术方案在需要满足监管要求的同时，还需要兼容跨国企业在全球部署的信息系统架构，这导致多云融合、多平台融合、多系统融合成为跨国企业在实施中国本土化IT战略的新趋势。

高轶峰进一步解释，中国正处于技术变革的关键时期，企业在进行数字化转型过程中，正大规模采用云计算、物联网（IoT）、人工智能等更加复杂的IT技术架构。四分之三的调研对象认为云和物联网是未来五年最重要的技术风险。

网络安全的成本也是企业重点考量的问题。调研显示，84%的企业处于将两种或多种新兴技术整合至现有网络安全解决方案套件的早期阶段，这些技术包括：安全、协调、自动化和响应技术（SOAR）；人工智能或机器学习（AI或ML）；应用于身份验证领域的区块链技术；零信任安全技术；开发、安全、运营（DevSecOps）。

高轶峰表示，这些信息技术虽然有一定的部署或实施成本，但是长久来看，会有效减低网络安全投入或损失；对于企业而言，能否接受这些新兴技术的成本，需要综合考虑其需求、资源与预算，并评估其对业务的长期价值与风险管理的效益。

根据安永调研，人为错误仍然是网络安全攻击的主要诱因。安永中国区金融服务科技咨询主管合伙人阮祺康表示，要解决网络安全的“人为因素”影响，需要从两个方面入手：一方面，定期培训并不断提升安全培训的有效性，应将重点放在基础知识方面、简化员工需要遵守的最佳实践、在流程或沟通中建立访问控制和预防监测等技术手段；另一方面，针对IT人员，除了专业的安全培训外，将网络安全要求嵌入在日常IT组织建设或制度规范中，是提升IT团队安全水平的重要方法。

调研还指出，网络安全领导者正在努力应对当前和预期的网络安全威胁。然而，组织在网络安全方面的表现和成果会因其采用 的网络安全策略而产生不同。组织可以通过强调简化、整体思维和在组织范围内整合网络安全考虑因素来增强其网络安全水平。