2023年的风险管理趋势
2023-05-30常莽
常莽
根据行业专家的预测,2023年将会出现更复杂的勒索软件,并推动企业加强网络安全以及一系列其他发展趋势。这些因素再加上生活成本和经济条件的不断提高,将迫使风险管理团队变得更加高效、更具前瞻性,并更多地幫助其他团队防范风险。
根据调查,在2022年第三季度,各行业组织遭到的网络攻击数量增加了28 %,由于国际冲突引发的勒索软件攻击和国家支持的黑客活动增加,预计这一趋势将持续下去。与此同时,随着全球网络安全劳动力缺口(约340万名)的扩大,很多企业的安全团队将面临越来越大的压力,预计各国政府将出台新的网络法规,以保护其公民免受网络攻击。
物联网的快速发展也带来了更多风险
物联网技术开创了网络连接的新时代,允许各种设备以新的和扩展的方式运行。根据预测,随着供应限制的缓解和物联网设备数量的加速增长,到2025年全球将有大约270亿台物联网设备。
与此同时,数据泄露事件也变得越来越普遍,因此,很多企业正在转向分析和自动化来协助网络专家的工作。当然,技术永远无法完全解决所有的网络安全问题,虽然可以执行一些自动化操作,然而在许多情况下,企业希望在采取纠正措施之前调查分析发现的问题。这意味着最有效的网络安全环境将是复杂的人类智慧和人工智能的混合,并在自动化和分析驱动的警报和人工干预之间进行关键的切换。
这将需要一个定义明确的过程来识别、筛选和应对威胁,并为智能机器和有能力的人明确定义角色,这一过程不仅必须识别和鉴定威胁,而且必须迅速做出反应。由于存在多种威胁并不容易,但基于分析的优先级能够有所帮助,这不是未来的情景,而是当前情景的早期阶段。
如今,公共部门和私营企业都在使用分析技术,并在较小程度上使用自动化技术来改进网络安全计划。这种技术能力何时会完全成熟可能会有一些不确定性,但其应用是必要的。
关注ESG和网络安全
无论是公共部门还是私营公司,在管理环境、社会和公司治理(ESG)以及网络安全要求和责任方面都面临着越来越多的挑战。除了在新闻头条报道和得到企业的重视之外,ESG和网络安全2个领域都需要持续的关注和透明度。正如各行业和机构所证明的那样,审计和调查将确定质量审查及合规性认证何时不准确。从企业高管到新入职的员工,每个级别都必须接受与工作职能相关的ESG和网络安全培训。此外,企业文化应努力保持对ESG和网络安全重要性的认知。
ESG和网络安全都是广泛的概念,涵盖了各领域的广泛因素。此外,这二者都代表了用于评估政府机构和企业的大量需求,所有迹象表明,未来劳动力市场中的大多数职位与网络安全和ESG有关。
相关立法、国际采纳和社会压力等共同驱动因素表明,考虑到网络安全和ESG问题,对安全和负责任的系统需求在21世纪不再只是无关紧要的特性。
社交媒体和深度伪造
在2022年报告遭遇网络欺诈而导致经济损失的受访者中,25 %以上的受访者表示,其损失源自社交媒体广告、帖子或消息。调查数据表明,在2022年,社交媒体对网络欺诈者来说比其他任何针对用户的欺诈方法都更加有利可图。
对网络欺诈者来说,社交媒体有很多可取之处,这是一种低成本的方法,可以覆盖全球各地数百万人。创建一个欺诈性的角色也很简单,或者欺诈者可以侵入现有的个人资料来寻找目标进行欺骗。他们可以通过研究人们在社交媒体上分享的个人信息来调整欺诈方法。此外,欺诈者可以很容易地利用社交媒体平台上广告商提供的工具,根据年龄、兴趣或以前的购买记录等个人信息,向人们发布虚假广告。
深度伪造是指由计算机生成的真实人物的虚假音频或视频,如今越来越多地用于诈骗行为。它们可以是动画和逼真艺术的混合体,IT和计算机编程行业是这种新型欺诈行为最常见的目标。人们无法识别深度造假的内容真伪,因为他们使用的是基于人工智能的深度数据库,随着这些技术的成熟,它们可能会对企业产生深远的影响。这不仅仅是投机妄想症,例如在迪拜和英国发生的银行和企业欺诈案件都涉及使用克隆语音技术,以至于损失高达数千万美元。有些财务人员被骗转移资金,他们认为是值得信赖的客户或同事让他们转账。
为2023年的网络安全趋势做好准备
在网络安全方面,仅靠技术是不够的,也必须考虑员工的安全教育。然而,网络安全的复杂程度正在迅速提高。在这一方面,企业应该向用户介绍网络安全的基本知识,重点介绍在线诈骗和深度伪造技术,以及网络犯罪分子滥用这些技术的可能性。教育员工在处理紧急请求之前应该三思而后行,需要谨慎核实对方的请求。
此外,企业文化应努力保持对ESG和网络安全重要性的认识。安全法规、全球实施和外部影响等因素表明,需要建立能够应对网络安全、ESG挑战的安全和负责任的系统。