Global Cybersecurity Outlook: the risks we all face and how to fight back
World Economic Forum
Deep Dive
Shownotes Transcript
如果贵组织尚未遭遇网络事件,未来某个时刻很可能会发生。您不希望等到事件发生后才制定网络危机沟通计划。欢迎收听达沃斯电台,这是世界经济论坛的播客节目,探讨最大的挑战以及我们如何解决这些挑战。
本周,随着论坛发布其2025年全球网络安全展望,我们将关注风险以及我们所有人可以采取哪些措施来反击。技术既被“好人”也由“坏人”所部署。许多犯罪团伙也开始非常有效地利用人工智能技术。
人工智能的快速兴起只是网络安全展望中涵盖的几个关键问题之一。我们如何以一种不会给企业带来更多风险的方式来利用这些好处?论坛网络安全中心的负责人将带我们了解这篇重要研究报告的一些主要发现。
我们将听到两位专家讲述如何改善个人和组织抵御潜在破坏性网络犯罪的防御能力。我们的目标是在非洲接触一百万儿童,以便能够提供这种网络安全教育。组织面临的主要问题不是我们如何阻止坏人入侵,
而是我们如何建立弹性,以便如果或当坏人入侵时,我们有一个应对和恢复的计划?无论您在哪里收听播客,都可以关注达沃斯电台。我是世界经济论坛的罗宾·帕尔默。通过对全球网络安全状况的了解。网络弹性,它不再是一种锦上添花的东西。这是达沃斯电台。
本周我们讨论网络安全问题,为此,我邀请到了世界经济论坛网络安全中心负责人阿克谢·乔希。你好,阿克谢,你好吗?你好,罗宾,很高兴见到你。也很高兴见到你。对于任何不知道网络安全中心做什么的人来说,它都做什么?网络安全中心是世界经济论坛于2018年为应对日益增长的网络威胁而启动的。
这是一个独立且公正的平台,受益于世界经济论坛提供的平台,它旨在弥合网络领导者和企业高管之间的差距。当今时代的网络安全不再仅仅是一个技术问题。它需要像组织内的任何其他战略重点一样得到处理。
然而,在理解网络安全问题方面,领导力往往落后。鉴于论坛一直非常擅长吸引来自组织和国家的资深领导,通过网络安全中心,我们已经成功地创建了一个由全球最资深的网络安全领导者组成的社区。
我们的努力始终致力于弥合这两组利益相关者之间存在的差距,以便我们可以改善全球网络安全状况。而你刚刚发布了最新版本的
年度网络安全展望。什么是网络安全展望?你是如何把它组合在一起的?它应该做什么?2022年,中心首次决定启动全球网络安全展望。正如我之前提到的,为高级领导配备正确的知识非常重要,以便能够就其组织面临的网络安全风险做出战略决策。
网络安全展望每年一月发布,为高管提供有关网络空间中最重要问题的见解,并提醒他们应该采取哪些行动来应对网络空间中正在发生的一些风险。因此,如果我是公司的高管,我可以拿起这份报告,它会真正给我一个
对世界各地正在发生的事情、可能出现的网络攻击以及我应该如何为此做好准备的展望。对吗?完全正确。这是网络安全展望的目标。
它的制作方式非常易于高级领导理解,并且不是以技术为导向的。它实际上是从业务或整体安全角度看待网络安全,并且真正旨在为高级领导提供他们需要的信息,以帮助他们就网络安全问题做出决策。那么你能给我们介绍几个
今年报告中的主要发现的标题吗?因此,我们在本报告版本中发现的一件最重要的事情是网络空间的复杂性日益增加。这种日益增长的复杂性源于多种因素。首先,存在普遍存在的国际政治不确定性。60%的
高管以某种方式改变了他们的网络安全战略,或者他们的网络安全战略受到了整体影响。因此,我们在世界不同地区看到的不确定性正在对网络领域产生影响。这是为什么?你能解释一下或者给我们举一些例子来说明这种情况吗?例如,当你看到
今天的战争不仅仅是关于物理战争。你还会在网络领域看到余波。
例如,如果您看到对关键基础设施的攻击日益增多,那么它只会影响企业在何处运营或与哪些供应商合作的业务决策。例如,如果他们与一家位于风险增加地区的供应商合作,那么它必然会影响
影响您的整体风险状况。因此,只是为了让您了解,虽然我们没有谈论绝对的决定,但是当您查看组织面临的风险总和时,地缘政治及其对网络空间的影响在人们如何做出决策以保持网络安全方面发挥着关键作用。
你强调了这个词“复杂性”。我认为你会说还有其他类型的复杂性或其他事情增加了这幅复杂图景。当然,有各种因素。我谈到了地缘政治不确定性。第二个方面是供应链。供应链正变得越来越复杂。事实上,你知道,
对更广泛供应链中某个特定参与者的影响可能会对整个供应链产生级联效应。例如,在2024年,我们经历了最大的IT中断之一,这是由于对特定软件的错误更新导致的,该更新对经济的不同部门产生了影响。
因此,它只是让您了解这些风险是如何越来越普遍的。事实上,54%的大型组织认为,与供应链相关的风险对其组织的网络弹性构成最大的影响。那么是什么导致了所有这些复杂性?是世界变得更复杂了,还是网络安全本身,即可用的技术?
是什么改变了这一切并使其变得越来越复杂的主要驱动力?你知道,你提出了一个非常好的观点。网络空间实质上反映了我们社会如何发展。现在,如果我们看看新兴技术,当然,在过去几年中,我们已经看到了人工智能的巨大进步。
因此,随着我们看到人工智能的进步,当然,组织正在努力在其环境中采用这些技术。例如,在我们的《全球网络安全展望》报告中,66%的高管认为人工智能技术会对网络安全产生最重大的影响。
但与此同时,37%的组织缺乏足够的流程来防范采用人工智能技术带来的风险。因此,他们对人工智能能够帮助他们提高网络安全水平充满信心,但也有许多人没有为人工智能带来的风险做好准备。绝对的。所以我觉得这有点自相矛盾。
现在,如果我们看看它的对抗性因素,当然,组织正在努力引入人工智能技术。但同样,我们也开始看到许多犯罪团伙也开始非常有效地利用人工智能技术。事实上,
47%的组织受访者认为,由于生成式人工智能而导致的对抗性进步是一个很大的担忧。因此,这只是让您了解,我认为这项技术既被“好人”也由“坏人”所部署。我们真的需要确保我们以安全的方式采用这些技术,以便
为我们的组织和其他应用程序提供更好的网络安全。我的意思是,人工智能显然也提供了超越网络安全的巨大应用,但与此同时,我们如何以一种不会给企业带来更多风险的方式来利用这些好处?
好吧,实际上,在本集节目中,我们将听到几次对网络安全专家的采访,我们在日内瓦世界经济论坛最近组织的网络安全峰会上与他们进行了交谈。是的,没错。这是我们每年在日内瓦举办的年度网络安全会议,它汇集了大约170位世界领先的网络安全领导者,共同探索使网络空间更具弹性的方法。
现在我们进行了一些非常好的采访。我们将在本集中播放两个。希望以后的剧集中会有更多。因此,这两个采访都是致力于提高人们对这个问题的认识并帮助公司和个人找到解决方案的人。这两次采访中的第一次是Confidence Stavely,她是CyberSafe的首席执行官。告诉我一些关于Confidence的事情。
因此,Confidence在非洲的技能领域方面做了一些非常非常出色的工作。与我们一起,你知道,她一直是论坛关于战略网络安全人才框架工作的极其积极的贡献者。现在,网络安全技能是一个普遍存在的巨大问题,但当您关注发展中国家市场时,这个问题就更加严重了。
Confidence在这方面的工作确实令人难以置信。让我们听听Confidence Stavely的采访。她接受了我的同事Katarina Gordychuk的采访。为什么你认为许多人难以理解网络安全最佳实践或当今正在发生的趋势?在你的工作中,你如何试图改变这种情况?
我认为首先,人们不一定认为自己是网络罪犯攻击的目标。当我说“人”时,我的意思是个人或不同规模和不同行业的企业。你知道,所以......
与可能发生的事情脱节,以及没有看到他们成为移动攻击面的现实,这也是我们看到的一个问题。对于普通人来说,沟通和行动也过于复杂,这也是一个问题。所以
我通常希望简化事情,不仅要将其简化,还要将其应用于我每次与之交谈的人。我发现这改变了人们接收信息的方式。因此,我们在网络安全方面的主要挑战也是沟通。除了让它与我交谈的人产生共鸣之外,我还通过交付方式来改变它。
所以很多时候我们认为网络安全教育必须在非常正式的环境中进行。你坐在会议上学习网络安全,或者通过参加课程或类似的在线学习来获取信息。但我发现,我们更需要将网络安全意识主流化。人们在哪里获得娱乐?
人们花费数小时在手机和社交媒体上滚动浏览,为什么我们不将网络安全意识变得如此令人愉快,并且每天都能让人们采取少量措施来改变和改善他们的安全状况呢?对我来说,我只是真正致力于研究我们如何利用娱乐工具,例如流行文化就是一个例子,阿芙罗比特文化就是一个例子,如果我们可以利用我们目前甚至消费的这种生活方式工具来
将网络安全意识和教育主流化,我认为这将是具有革命性的改变。而这正是我非常热衷的关键事情之一。你如何将这融入你的一些活动中,即从学习一些好奇的事情的角度来看待网络安全,而不是仅仅是必须知道的非常严肃的事实?
我认为教育娱乐是我们需要做的更多的一件事,因为有时教育不仅仅是你去学习的东西,而是来到你身边的东西。因此,对我们来说,这只是在我们开展活动中真正地利用这一点。例如,我们创作了非洲第一首基于阿芙罗的网络安全意识歌曲。
首先,它听起来像你在某个派对上跳舞。但随后你听到双因素身份验证。你听到密码长度和安全性。我们需要更频繁地教人们网络卫生。然后,使用教育娱乐是我们看到这些小的可操作的事情如何传递给人们的关键方法之一。我们已经能够通过我提到的歌曲来做到这一点,在我们的一项活动中,名为“No Go For Manga”的活动歌曲真正触及了2000万人。我们看到了这如何真正帮助
在疫情期间和疫情后支持人们,当时网络攻击公民的事件急剧增加。此外,我们还看到
社交媒体上非常有趣的短视频,例如小品,也可以使用。我们有我们最喜欢的娱乐节目,从你能想到的非常愚蠢的事情到你想消费的非常有意识、合乎逻辑的事情,我们都消费了很多。那么为什么不使用那些喜剧演员呢?
为什么不使用那些人们已经喜欢的女演员呢?因此,这些是我们能够在我们的活动中注入的一些关键内容。对于儿童来说,非洲儿童喜欢民间故事,这就是我们成长的方式。我们还能够利用这些民间故事和故事背景
来与孩子们分享网络安全教育。我们在 CyberSea 的所有活动中都做到了这一点,因为我们相信网络安全教育不应该是我们在人际互动心理学之外做的事情,因为这两件关键的事情需要结合起来。Confidence,很明显你对网络安全充满热情。你的旅程是如何开始的?为什么它对你来说如此重要?
我的旅程是一系列偶然事件。我首先偶然接触到技术。
我一直被告知要成为一名医生,以至于我认为这将是我的道路,直到我在上大学和高中毕业之间休了一年假,在那一年里,我第一次接触到电脑,学习了如何编程,我才知道我必须在这里。所以我用纸板向我的父母推销,作为我做演示的方式,因为当时我买不起笔记本电脑,我认为这段经历也真正塑造了我设计项目的方式。
然后我接触到电脑,喜欢它,告诉我的父母我想从事技术工作,然后继续学习软件工程高级文凭,获得IT和商业信息系统理科学士学位。然后,在我攻读IT管理硕士学位期间,我参加了一门密码学课程,这让我走上了信息安全之路。但我清楚地看到,由于我们文明周围的一切都围绕着技术展开,我想成为那些保护技术的人之一,因为保护
我们正在消费的技术不仅仅是保护这项技术的问题。现在这是保护我们文明的问题。我经常使用这个比喻。我说,例如,你买了一辆好车,你把它给了你的孩子。你会在没有教你的孩子如何驾驶的情况下把它交给你的孩子吗?例如,知道刹车在哪里,知道如何更换汽车机油,例如,
非常基本的事情。但我们所做的是,我们手中掌握着技术。创新正在以非常快的速度发展,但我们没有向人们和组织展示刹车在哪里以及如何为了他们的安全而使用它们。因此,尽管我们希望获得技术的益处,但我们也必须非常注意风险。这样,我们将能够拥有保护性思维方式和工具来保护自己。这就是我如此热衷于这个领域的原因。
我很想问你一些关于你的活动的问题。有很多活动,它们都针对具有其独特网络犯罪漏洞的不同人群,例如。告诉我一些关于“Shine Your Eye”的信息。它是如何开始的?它针对谁?“Shine Your Eye”活动真正针对的是老年公民。因此,对我们来说,这实际上是确保我们能够与他们交谈,并使用对他们有帮助的工具,将它们交到他们手中,并简化他们如何保护自己的方法。
这就是“Shine Your Eye”活动真正想要表达的内容。我们获得了资金来创建工具、开展活动,然后接触到超过10万名老年公民。我们已经能够在八个非洲国家接触到他们,这些国家通常正在成为网络罪犯的目标,并且有很多储蓄可以损失。我的意思是,就像我的母亲一样,我的母亲是网络犯罪的受害者,她只是接了一个电话。
有人假装是来自她银行的人。然后就一切都结束了。我亲眼目睹了这种经历是多么令人痛苦,以及这种经历有多糟糕。我希望越来越少的老年人成为网络犯罪的受害者。“Shine Your Eye”活动就是为了这个目的而存在的。
这对你的家人来说一定非常痛苦。当它发生时,你的脑海中在想什么?你有什么机制来保护你和你的母亲以及你的家人吗?那一刻我感觉自己有点辜负了我的母亲。这就是问题所在。作为一名网络安全专业人员,你从保护企业、你工作的企业的角度来考虑网络安全,对吧?但网络安全不仅仅是这些。
我们需要不要将人和技术用户放在次要地位。我们需要确保我们在
预防性和响应性教育中将他们放在中心位置。关于如果发生不好的事情你应该做什么,这方面做得还不够。企业没有为技术用户或他们通过技术提供的服务的使用者投入足够的精力。对我来说,这正是我当时的感觉。我觉得我没有给我的母亲足够的信息,例如。我没有充分地增强她的意识
这就是发生的事情。我们通常会忘记家里那些拥有这些信息的人,无论是为了我们自己还是为了我们服务的企业。对我来说,那一刻我感觉就像,“哦,我错过了目标”。
网络犯罪存在许多不同的方式,对吧?这不仅仅是关于你点击链接,更多的是关于玩弄人们的情感。那就是它变得如此个人化。我们如何保护人们,年轻人,以及老年人,每个人免受这种风险?我认为有很多方法可以做到这一点。
首先是承认我们是不一样的,我们有不同的影响,并且只是了解我们的个性如何影响我们对某些攻击类型和某些劝说类型的反应或易感性。
因为我们看到,直到今天,大多数攻击都是从社会工程开始的,简单来说就是欺骗。因此,真正了解你的个性如何驱动这一点,然后获得知识来保护自己。所以这是个人和企业组织都需要优先考虑的事情,
这不需要一次性完成。它需要得到加强。它需要重复。它需要刷新。因此,当出现新的、非常普遍的攻击类型或攻击模式时,也需要沟通这些信息。人们需要寻求这些信息。我相信这些是我们能够保护个人和组织的一些关键方法。
“Cyber Smart Child”怎么样?这是另一个针对光谱另一端的活动,针对非常小的孩子。这项活动进展如何?为什么你也要关注这个群体?我的意思是,我们现在将设备交到孩子手中。有时不到10岁的孩子能够完成他们的家庭作业和作业。我们发现网络罪犯也以他们为目标进行引诱、性敲诈以及各种攻击。
这些孩子通常相信他们所看到的东西,除非被告知否则,否则你正在与谁交谈可能并非你认为的那个人。因此,即使我们认为他们没有在社交媒体上,例如,因为他们还不够大,孩子们也在积极地使用社交媒体。孩子们正在使用约会网站,例如。孩子们正在点击弹出窗口,例如,这些弹出窗口来自他们的学校电脑。
例如,我们安装在他们的笔记本电脑上的盗版工具,以便他们能够完成家庭作业或其他学习活动。儿童越来越受到虐待,儿童越来越处于危险之中,儿童因性敲诈而自杀,我之前已经和你谈过了。有时发布的儿童照片实际上并不是那些儿童的照片,而是这些儿童的照片
叠加在人工智能生成的图像上,例如。因此,所有这些事情,甚至人工智能如何参与真正帮助网络犯罪的动态变化,都使得我们必须优先考虑儿童在网络方面的教育变得非常重要。但更重要的是,
重要的是,我想传达的关键信息是,这并不是对儿童的平淡教育。你与六岁儿童交谈的方式与你与青少年交谈的方式不同,对吧?以及介于两者之间的许多步骤。因此,认识到这一点,认识到如何沟通这些最佳实践,并以一种
吸引儿童注意力的方式来进行,因为他们的注意力持续时间很短,这对于网络教育的交付方式至关重要。考虑到网络教育的局限性以及资金方面的挑战,我们已经能够以一种小规模的方式做到这一点。但我们已经开始做得非常出色。我们的目标是在非洲接触一百万儿童,以便能够提供这种网络安全教育。
多年来,有没有一些真实的例子或故事让你印象深刻,这些例子或故事讲述了人们是如何受到你给予他们的知识的影响的?谈到故事,太多了,多到数不清。有一个我非常喜欢的故事,它真正展现了为年轻女性提供机会的力量。这是尼日利亚Fela Oshideko的故事,她没有任何形式的数字教育。她不知道如何使用电脑或数字设备。
她通过我们的“Cyber Girls”项目来到这里。然后我们教她如何使用电脑。她对自己许下了承诺,她将成为我们项目中成绩最好的学员。这位年轻女子实际上成为了成绩最好的学员,因为她付出了很多努力。因此,她从不会使用电脑到能够
为公司提供渗透测试服务。尽管她没有学位,但她毕业后很快就找到了工作。这是一个不得不通过一份每月收入约10美元的工作来养家糊口的人。然后她
你知道,我们能够给予她的技能让她找到了一份工作,然后增加了她的收入。她现在能够养活她的家人和自己,并且她正在做她喜欢做的事情。她正在寻找漏洞,例如,
这可能会导致公司每年损失数十万美元。她还回到她受益的项目中担任导师。所以我看到这是一个完整的循环时刻。这让我感到非常自豪,因为它也证实了,当女性获得机会时,这是她们进入网络安全领域的最大障碍,她们将充分利用它,并且她们将脱颖而出。我们只需要说到做到,并组建像“Cyber Girls Fellowship”这样的项目。
Confidence Stavely,CyberSafe的首席执行官。她实际上对网络攻击如何经常取决于你的个性说了很多有趣的事情。她正在谈论对个人的网络攻击。年轻人可能会以某种方式成为目标,老年人则以不同的方式成为目标,而她正在做的工作似乎针对这些人的目标建议和帮助。我的意思是,这是一件大事,不是吗?我们所有人
都可能是某种网络攻击的潜在受害者。这取决于我们是谁,我们的个性是什么,我们的工作是什么,我们正在使用的应用程序是什么。对我们所有人来说都非常不同,不是吗?确实非常不同。我最担心的是弱势群体。想象一下,如果一位退休人员被骗,利用他们养老金的收益
进行投资骗局。这就是会发生的事情,你知道,我认为连锁反应相当严重。
在一个层面上,你会体验到一定程度的羞耻感。你不想谈论它,因为,你知道,我认为你将如何被不同的人看待,这就是为什么你通常不会倾向于举报的原因。一旦网络罪犯了解到你的弱点,你通常会收到后续请求。哦,如果我们只做那样的话,我们可以帮助你恢复。因此,这在大多数情况下并不是一次性的努力,他们会进行诈骗。可能会有一系列诈骗随之而来,你只是
继续这样做,希望这将使你能够恢复你所损失的东西。所以我真的很担心弱势群体,老年人,你知道,我的意思是,他们显然越来越数字化,但与此同时,你知道,他们可能不像在网络空间中那样具有相同的意识。但同样,我也非常担心
儿童,他们可能在如何与技术互动方面还不成熟。所以我认为这些是,这是一个相当广泛的范围,但总的来说,我认为如果基本的网络卫生不存在,这些弱势群体可能会产生非常非常重大的影响。
是的,Confidence在那里谈到去那些人所在的地方,并用他们理解的语言与他们沟通。我认为这非常有趣。现在她在非洲工作,我认为你刚才提到在我们听到这段剪辑之前提到的网络不平等,这是你去年报告的一个重要主题。
这种不平等,地区之间、大公司和小公司之间的不平等。你能告诉我们一些关于网络不平等的信息以及为什么这对您来说很重要吗?绝对的。在看待网络不平等时,我们倾向于采用三个视角。第一个是经典的,大型组织与小型组织的视角,对吧?在这里,如果我们正在查看......
小型组织,今年的全球网络安全展望中,35%的小型组织报告称其缺乏弹性。与2022年相比,这是一个7倍的增长。
所以它增长得相当显著。如果我们看看大型组织,它大约减少了一半。所以大多数组织都在投入更多努力来确保它们更有韧性,因此,你知道,那些报告自己没有网络弹性的组织数量显著下降了。这就是大与小的区别。第二个视角实际上是
成熟市场与发展中市场。在这里,如果我们观察一下,研究表明,例如在欧洲和北美,只有15%的受访者对其国家应对网络威胁的能力缺乏信心。
当你转向拉丁美洲或非洲时,这些数字会显著增加。所以这是网络不平等的第二个视角。最后一个是部门不平等。我们都知道,金融服务业由于其自身的理由,在网络安全方面往往非常成熟。他们管理着所有的财务,必须在那里做到非常顶尖。但是,还有许多其他部门可以说是
非常重要,但与此同时,网络弹性却不高。例如,公共部门,87%的公共部门组织的受访者报告说,他们存在中等至严重的技能差距
你知道,要防御日益增长的网络风险。所以这是我们用来理解网络不平等的三个视角。我刚才谈到了,你知道,普遍存在的网络复杂性。现在,
从这三个角度来看,不平等本身就相当显著。如果你叠加普遍存在的复杂性,那将是完全不同的局面。因此,我们认为普遍存在的复杂性加剧了网络不平等。顺便说一句,我喜欢你从大脑中提取这些数字的事实。我希望我做得对。好的,人们可以检查。他们可以根据在线提供的报告来评判你的工作。
对此印象非常深刻。今年报告中的另一件事是关于技能,这是我们在达沃斯电台、世界经济论坛上经常谈论的话题,关于工作的未来,技能的未来,并且在这个领域存在人才短缺。告诉我们一些关于这方面的内容以及报告揭示了什么。许多全球组织报告称,网络人才差距是实现网络弹性最显著的障碍之一。
我们的研究表明,与去年相比,这一差距扩大了8%,三分之二的组织报告称,在基本网络技能方面存在中等至严重的差距。
现在,这非常重要,因为风险在不断增加。我们之前谈到过网络犯罪分子如何利用新技术,从而导致更有针对性的攻击,你知道,更复杂的技术。与此同时,组织可用的网络能力方面存在越来越大的赤字。总而言之,这对整个组织的网络弹性产生了相当大的影响。
世界经济论坛网络安全中心在过去几年中一直在积极解决这个问题。事实上,根据高级领导人的建议,我们制定了第一个战略性网络安全人才框架,该框架提供步骤,一种相当稳健的方法来培养人才
弥合网络技能差距,并就个人如何进入和在网络安全行业蓬勃发展提供非常好的建议。我的意思是,这是谁的责任?是公司、学校、大学还是政府?我的意思是,谁必须......
做出改变,这意味着有其他人可以胜任这些重要的工作?你知道,我认为是你提到的所有实体。我认为每个利益攸关者都需要采取具体的行动。现在,让我们以课程为例。你知道,
许多常规课程不一定包含网络安全组件。你可以从两个层面考虑网络安全。一个是面向更广泛人群的网络安全教育和意识。第二个是针对性的课程,以培养下一代网络安全专业人员。所以我认为需要在这两个领域投入努力。另一个关键因素是整个行业。
那么,网络安全职业生涯是否与积极的叙事相关联?行业是否已经做了足够的工作,使网络安全成为一个真正令人向往的职业选择?
就我而言,我认为网络安全专业人员所肩负的使命非常深刻。你正在帮助为所有人守护数字化的好处,这是一个极其艰巨的任务。但与此同时,我不相信截至今天,这项使命对求职市场上的有志者来说是显而易见的。
所以需要做很多工作来构建这种叙事。需要有大量的课程和途径。一旦我们有了加入网络安全行业的人员,我们就需要为他们建立专门的职业轨迹,以便他们能够继续从事更专业的领域。在我们做这一切的同时,我们需要记住,网络安全是一个极其紧张的职业。
例如,当我们大多数人倾向于在年底期间稍微休息一下时,骗子往往最活跃,这意味着组织的威胁状况非常高,这反过来又进一步意味着网络安全专业人员并没有像我们大多数人那样有机会放松身心。因此,你知道,我认为还需要适当考虑网络安全专业人员的福祉方面。
在第一次采访后,她真的表达了这种想法,这是一个使命。这不仅仅是打勾。这是关于保护,她谈到了她的母亲。对她来说,这是一个真正的使命。我认为这可能是一件非常有吸引力的事情。我们都希望我们的工作能有所作为。而你正在说这个行业确实如此。那么,让我们听听我们最近在这里举行的网络安全会议上的第二次采访。
这是一位为公司提供如何改进其网络安全以及网络弹性以及在发生网络攻击时该做什么的实用技巧的人。告诉我们关于凯里·珀尔森的情况。
凯里·皮尔森是麻省理工学院斯隆管理学院网络安全的执行董事。她一直是我们工作的积极参与者,并积极参与我们关于网络弹性的工作。最近,我们发布了一篇关于解开网络弹性的论文,我们在其中
我们试图帮助领导者从商业角度理解网络弹性,而不是许多现有的技术定义。我们试图将其定位为组织将网络事件对目标和目标的影响降至最低的能力。
这非常简单明了,对吧?所以凯里一直非常积极地与董事会合作,真正提出关于董事会如何履行其责任等方面的极其有力的观点。所以我们非常高兴能在这里听到她的观点。让我们听听凯里·皮尔森的讲话。网络危机沟通计划与一般的危机沟通计划略有不同。许多组织......
业务连续性计划或某种危机计划,说明他们在业务中断时将采取哪些措施。
除了网络中断之外,还有各种各样的中断。但事实证明,网络安全事件有一些独特的因素。在我们的研究中,我们发现了一些经理可以做的事情,以便在发生网络危机时做好准备。例如,在网络危机中,事件通常会展开。你一开始并不知道正在发生的一切。
不像飓风、龙卷风或地震那样,破坏已经造成,现在你必须从这种破坏中恢复过来。在网络事件中,你可能几天、几周、几个月,甚至更长时间都不知道所有的事情。有时,坏人已经潜伏在你的系统中很长时间了,他们只是部署任何恶意软件来制造某种网络事件。因此,你必须与利益攸关者沟通不完整的信息。
第二,我们通常的第一反应,我们关于我们想说什么的第一个想法是错误的。事实上,在一个例子中,一家公司称这种情况为网络事件。事实证明,这不是网络事件。而“事件”这个词带来了后果。存在法律后果。其他利益攸关者做出了回应。
对网络事件的回应最终将是无关紧要的,如果他们一开始没有称之为网络事件的话。人们倾向于想要分享大量信息,即使你不知道这些信息。你想向你的利益攸关者保证一切都很完美,他们会没事的,但你实际上还不知道。所以你需要小心你所说的。所以此刻压力很大,紧张感很强,
非常紧急。提前考虑好你将在网络危机中说什么非常重要,这将有助于你当或如果情况真的出现时。为什么根据组织希望与其保持联系的利益攸关者定制回应很重要?
所以在网络危机中,你可能希望以不同的方式处理不同的利益攸关者,原因有很多。让我们具体谈谈客户,例如。你可能有一些非常大的客户。他们可能是你业务的重要组成部分,你想更谨慎地处理他们,也许让一位高管与他们联系。你可能希望将他们与高管联系起来,而不是将低级别人员与低级别人员联系起来。你可能想向他们保证
对他们的业务影响与他们最初可能认为的不同。这只能通过一对一的谈话来实现。这是关于保持你与客户之间的信任。你可能还有其他客户群体,你的业务对他们的运营并不那么重要,社交媒体帖子或信件、电子邮件或其他类型的沟通可能足以让他们知道发生了什么。所以你想要提前考虑好这一点
在危机发生之前。你不想等到发生网络危机时才决定你要联系谁,你需要什么资源来联系他们,你将如何联系他们。第二,当发生网络危机时,首先,正常的沟通方式可能无法正常工作。如果你的电子邮件被破坏了,你无法发送电子邮件,而这是你的计划,
那么你就有麻烦了。因此,你也要记住B计划和C计划,以防万一。但是,在与利益攸关者联系时,也有机会使用创造性的想法。在一个例子中,一家医院受到网络事件的影响,无法预约。
并且无法打电话给人们,因为他们的电话列表被锁定了。他们甚至无法打电话给他们的潜在患者或现有患者,告诉他们发生了什么。他们无法通过正常渠道与他们联系。所以他们刊登广告,让患者知道传统机制无法正常工作,他们的系统已关闭。如果现在无法预约,请不要担心,他们会回来的。但这并不是说他们不想要你的业务。
或者他们不希望你能够联系到你的医疗服务提供者,但他们只是不得不找到一种不同的创造性方法来联系他们的选民。所以我听到的是,准备工作是如此重要的一部分,进行练习,进行测试。
公司和组织应该如何处理这个问题?是的,我认为这是一个非常好的观点。因此,对于组织来说,为网络危机沟通做好准备非常重要。另一个机会是实际练习你可能在网络危机中进行沟通的方式。所以我们提倡的一种工具
在我们研究结果中,实际上是进行桌面演习或其他类型的消防演习,你考虑一下我们正处于网络危机的中间,我们将如何与你选择的选民、客户、供应商沟通。然后你进行假设,那么如果这种沟通方式中断了呢?我们将如何与他们沟通?并利用练习的机会来考虑你可能在发生网络危机时拥有的不同替代方案。
当发生危机时,当然也会有很多资源转移,包括人力资源。这对沟通策略有什么影响或可能有什么影响?公司如何确保他们实际上有人在做这项工作,而不是,嗯,做修复工作或做危机沟通之外的工作?嗯,在危机中平衡资源是一个大问题。所以我认为网络危机规划非常重要。
我们经常谈到桌面演习和消防演习作为规划的一种方式。你制定你的业务连续性计划,你针对其他类型的危机对其进行压力测试,然后你针对网络危机对其进行压力测试。在一个我们研究过的组织中,他们有一个危机计划,不仅仅是一个沟通计划,而且它在他们的电脑上。他们的电脑遭遇了恶意软件,这将勒索软件安装到他们的系统中,锁定了所有内容并加密了所有文件。你认为计划在哪里?
嗯,它与系统中的其他所有内容一起被加密了。如果他们进行了桌面演习或提前做好了准备,他们可能会注意到,希望他们会注意到,一份非数字副本可能是他们危机沟通的救星。事实证明,在我刚才描述的案例中,负责人是一位行政助理,她碰巧打印出了
网络危机计划。所以她有一份纸质副本。每个人都嘲笑她,因为她把所有东西都打印在了纸上。但是当危机发生时,她是零点,而不是你期望担任危机计划所有者角色的人。所以是的,资源会在危机中转移。
尤其是在网络危机中。如果你能够提前计划并考虑这些资源将如何转移,你就可以识别你人员配备计划中的差距,并可能让其他员工加入。我还应该说,根据你经历的网络危机的类型,
你依赖的人,你依赖的外部公司,可能可用也可能不可用。例如,如果这是一个影响你整个行业的网络危机,而你不是该行业中最大的参与者,或者你没有与可能帮助你恢复的某些供应商建立关系,那么他们可能在最后一刻无法提供帮助。他们可能正在帮助其他也正在经历类似危机的公司。如果你进行了桌面演习或某种规划演习,你就可以识别出这一点。
在你给出这个例子时,我也在想,在大公司中,我们经常非常信任这种特定做事方式,通常是数字化的。如果这种特定方法完全被阻止了呢?然后,也许我们甚至无法以可信赖的方式联系我们的同事或利益攸关者。所以
这就引出了一个问题,也许我们应该使我们的工作方式多样化,这样当我们面临风险时,就不必依赖这种特定方式来处理危机。
我认为拥有多种工作方式和与所有利益攸关者(尤其是员工)沟通的方式非常重要。因为如果发生网络危机,这与物理危机、其他类型的危机并没有太大区别,但如果某些事情导致你的正常工作方式中断,你希望有一种替代模式
这样,即使危机正在发生,业务也不会停止。再说一次,我认为准备工作是这里的关键。因此,如果你实际上无法使用正常的工作方式,每个人都来办公室,办公室关闭,电脑关闭,网络关闭,你没有正常的沟通方式,那么你希望有一种文化,在这种文化中,人们知道他们应该做什么以及他们应该如何继续下去。而我们通常甚至不会考虑这一点。我们认为如果有一个
如果发生网络危机,网络团队将负责处理。也许一些外部供应商会进来帮助我们。也许政府会进来帮助我们。我们实际上并没有考虑整个组织以及哪些可能中断以及他们在发生网络危机时应该或不应该做什么。人们对网络威胁和网络安全有哪些不了解的事情?所以可能发生各种类型的网络事件,这些事件可能来自许多不同的来源。
并非每个网络事件都是因为坏人决定今天攻击你的公司,将勒索软件放入你的系统中,并且你的所有系统都被锁定了。通常情况下,恶意软件以某种方式被插入到系统中。这可能是因为供应商无意中登录到你的系统,并且
他们的系统上有一些恶意软件,这些恶意软件被转移到了你的系统中。这可能是因为某个员工点击了他们不应该点击的链接或网络钓鱼电子邮件,这将恶意软件引入系统。所以恶意软件可以通过多种方式进入系统。
有时,它可能在你的系统中存在很长时间,你甚至都不知道它在那里。因此,要考虑网络漏洞在你的业务中表现出的不同方式,并考虑你可能注意到它们的方式,并建立多层防御
这样你就可以通过不同的方式识别你的系统中是否存在某些东西,制定不同的策略,不同的程序。我认为对组织最有用的工具之一是建立网络安全文化。许多组织,人们认为网络安全事件由网络部门甚至你的IT领导者处理。但事实证明,组织中的每个人都可以发挥作用,帮助公司更具弹性,更安全。
例如,如果你看到什么,就说出来。如果你看到网络钓鱼电子邮件出现在你的办公桌上,请报告。不要只是不点击它,而是向你的网络人员或指定的任何人报告。如果你注意到你的同事
留下了一些其他人可能无意中看到但不应该看到的文件,请告诉他们。好好说,但要说出来。帮助你周围的每个人都像你一样安全并不是不合适的。这开始谈论组织实施的价值观、态度和信念
以提高认识并改变组织中人们的行为,这些行为有助于确保他们的安全。所以我个人认为,组织中的每个人都可以发挥重要作用,使公司具有弹性,并具有网络弹性、网络安全。这是许多组织
正在开始实施的另一种工具,作为对抗恶意软件在其组织中传播的方式。让我简单谈谈弹性。所以我认为,今天组织面临的主要问题不是我们如何将坏人拒之门外,
而是我们如何建立弹性,以便如果或可能当坏人进来时,我们有一个计划来应对和恢复?你知道,你可以提出一个愿景,如果我们发生网络事件,但没有发生坏事,那将是多么令人惊奇?我们没有损失金钱。我们没有失去运营。我们不必关闭。我们的声誉完好无损。如果发生这种情况,那就太好了。但这并不是今天的现实。今天的现实是,如果你发生网络事件,很可能会造成损害。
但是一个有弹性的公司会实施许多机制,以便他们能够更快地做出反应。这并不意味着他们没有受到保护。这意味着他们与应对和恢复网络事件一样努力地进行了保护和检测。所以这可能意味着诸如放置
制定计划的练习。这有点像去健身房。你去健身房是为了锻炼肌肉。嗯,如果你从未去过健身房锻炼肌肉,那么当你需要这些肌肉的时候,你可能会遇到问题。如果你认为你会拥有网络安全,但你从未制定计划、活动或练习来锻炼这些应对和恢复肌肉,那么当你发生网络事件时,你将不会非常有弹性。
所以我认为我们需要改变思维方式。我们需要改变思维方式,改变思维模式。与其将大部分资源集中在保护上,不如考虑建立保护措施,同时也投入大量资源用于应对和恢复。因为我认为,如果你的组织没有经历过网络事件,它将来会在某个时候经历。你不想等到事件发生时才
制定你的网络危机沟通计划或你的桌面演习计划,或者制定你将打电话给谁的电话列表,或者重新分配你的资源,以便人们知道他们的角色是什么。我认为我们在没有压力的情况下做出最佳决策。如果你已经制定了
应对网络危机的步骤和想法,那么你就有更大的机会快速做出反应。也许甚至会让你达到比以前更高的运营水平,因为你已经练习过,并且知道你需要做什么以及有什么措施可以让你至少恢复运营,甚至更好。这是来自麻省理工学院的凯里·皮尔森。
法规。这是你在你的报告中提出的内容,网络安全展望和支离破碎的性质。公司,特别是大型跨国公司,需要处理许多司法管辖区和法规。为什么法规的支离破碎是一个问题?可以做些什么来改进情况?法规,你知道,一方面,
大多数人都认为,法规在嵌入基线网络弹性方面发挥着相当重要的作用。如果没有法规,投资网络弹性的激励机制就不太一致,对吧?所以它们发挥着非常非常重要的作用。但是,当你考虑支离破碎的整体情况时,它会给那些说它会
它可能会造成非常非常大的挑战,因为它与保持合规性有关。我们在网络安全年度会议上进行民意调查的76%的首席信息安全官实际上认为,不同地区法规的支离破碎对合规性具有重大影响。提醒我们首席信息安全官是什么?首席信息安全官。
报告中有一些好消息和坏消息。一件可能是好消息的事情是,网络弹性正在成为一种竞争优势。所以我认为这意味着,如果一家公司做对了这一点,它对客户来说将是一个更有价值的主张。告诉我们一些关于这方面的内容。当然,你知道,正如我们所讨论的网络弹性一样,它不再是一种锦上添花的东西
我认为各行各业的组织都需要投资于它。如果我们正在关注日益互联的供应链,那么你只有像链条中最薄弱的环节一样强大。我知道这是一个陈词滥调,但由于我们在整个链条上看到的影响,当其中一个参与者成为目标时,这确实是真的。
因此,你需要确保你不仅要关注你自己的准备情况,你还需要关注整个生态系统的准备情况。这需要采取多项措施。例如,你需要审查你选择与之合作的所有参与者的审查流程。所以有很多......
许多组织在决定开展业务时都会进行严格的润湿流程。例如,几年前Salesforce实际上表示,他们不会与任何没有多因素身份验证的组织合作。
简单的步骤,但与此同时,它可以显著提高整体网络弹性。所以我认为,对于组织来说,考虑如何进行必要的投资非常重要,因为即使组织不一定在网络安全方面竞争,就像你正确指出的那样,如果网络安全做得对,它就有可能成为竞争优势。凯里·皮尔森所说的内容非常有趣
对公司对网络攻击的弹性进行压力测试,你会在网络攻击中做什么?甚至像她提到的那样,你是否打印了你的计划?因为如果有人锁定了你的电脑,你将无法看到你的计划,如果你的计划在那里的话。你认为公司是否正在进行这些压力测试,
以及我们都应该进行消防演习的方式一样,确保火灾警报器正常工作。你认为这种情况正在发生吗?它发生的频率够吗?你在这里做的一部分工作是试图让公司做这种事情吗?看,我们谈到了不平等的因素,对吧?所以不平等也体现在组织为应对危机发生时所采取的措施上。
所以大型组织,我相信绝大多数组织都了解网络风险的严重性,他们会不时进行演习,进行桌面演习等,关于如何做事情。让我们举一个简单的例子,对吧?你开始谈论电脑被锁定了。在我与受影响的高管交谈的一些实际案例中,他们说,其中一件基本的事情是,因为我们有
我们所有的电话号码都与组织的目录相关联。一旦基础设施关闭,你就再也无法访问电话号码了,或者你不知道你需要联系的不同人的电话号码。所以这说明
告诉你需要进行多少准备工作,我们需要采取哪些应急措施等等,并投资于整体的危机培训。但是,如果你考虑一些较小的组织,我会再次争辩说,回到不平等的维度,也许没有太多考虑为这些风险发生时做好准备,对吧?所以我认为还有很多工作要做。
世界经济论坛网络安全中心负责人阿克谢·乔希。感谢你加入达沃斯电台。非常感谢你。2025年全球网络安全展望现已可以下载。节目说明中提供了链接。如果你想了解达沃斯2025年年会上正在发生的事情,请在您选择的播客应用程序上关注达沃斯电台。你可以在webf.ch/wef25上了解更多信息。
以及通过社交媒体使用标签F25。本期达沃斯电台由我罗宾·波默罗伊撰写和主持,卡特里娜·戈迪丘克报道。杰里·约翰逊编辑。泰斯·凯勒赫的录音棚制作。我们下周再见,但现在,感谢您的收听,再见。