总部设在华盛顿的两党政策中心(BPC)智库2023年2月发布了题为“2023年网络安全的最大风险”报告，这里主要内容编译如下：

两党政策中心近期召集了一个领导人工作组来加强美国的网络安全。该小组的方法是确定美国最大的网络安全风险，以提高意识，使决策者和企业能够采取务实的行动，并投资于对策。在组建工作组时，共同主席寻求具有战略重要性的行业、政府和民间社会的广泛参与。与网络安全有利害关系的每个部门都包括在内——银行、通信、数字平台、卫生、能源等等。工作组从广泛的重要角度出发，包括代表隐私问题和数字身份的利益相关方。

识别网络安全风险是管理这些风险的第一步。与其他识别网络风险的更具技术性的来源不同，这份报告将它们框定为面向企业和政府决策者的战略受众。我们有意地关注识别风险，而不是解决方案，因为不同的利益相关者可能需要采取不同的方法。没有一刀切的解决办法。相反，这些顶级风险必须由公司单独考虑，由国家集体考虑。许多将需要跨企业和政府的多方面响应，他们将需要工作各种杠杆，包括政策、组织文化、技术和流程。

下述八大宏观风险综合了工作组确定的最有可能和最具影响力的风险。每个风险的描述都包括“关键风险因素”，这些因素确定了具体的实例或危险，这些实例或危险属于已识别的风险。列出的关键因素只是起点，并不详尽。

多边地缘政治格局正在演变，最近受到几个因素的影响，包括日益增加的国际冲突和更广泛的民族主义趋势。也许最重要的新兴因素是俄乌战争导致越来越多的网络攻击和破坏关键基础设施的企图；战争有蔓延到直接冲突地区以外的危险。随着各国追求国家利益，西方国家和中国之间日益加剧的紧张关系加剧了更频繁和更具影响力的恶意网络活动。此外，中东的冲突增加了该地区遭受网络攻击的可能性，对手试图宣传某些意识形态或诋毁对手。虽然这些冲突可能是局部的，但鉴于互联网的全球性质，网络威胁可能会产生深远的影响。互联网和其他技术使行动者能够远程和几乎即时地开展这些活动。

美国积极努力加强其与北约和条约盟国的网络安全，并实施有效的网络安全措施来保护重要的基础设施和政府系统。虽然美国积极推行应对风险的政策，但我们已经确定了八个需要在2023年持续关注和增加对策的风险因素。

认为匿名、缓慢和不精确的归属以及攻击的远程性质使网络攻击对民族国家具有吸引力。间谍活动、破坏和“假旗(false flag)”攻击都很有吸引力——与近年来的任何时候相比，抑制力更低，成功的可能性更大。一些政府鼓励非国家网络罪犯充当代理，扩大他们的网络人才库。

对海底电缆和基础设施(如公用事业和物流)的攻击会对一个地区甚至整个世界产生巨大影响。这种类型的攻击在2022年有所增加，并且在2023年仍是最大的风险。

社交媒体和其他技术可以被用来做好事，也可以用来搞恶作剧。敌对的民族国家、围绕边缘信仰组织的团体或控制“机器人”的独狼个人可以影响公众舆论，以破坏选举、公共卫生计划或公共秩序。随着这些活动的规模不断扩大，社交媒体和其他在线平台正在努力实施有效的、社会上和政治上可接受的政策，这让我们预计这些活动将在2023年覆盖更广泛的受众。

为了应对地缘政治和经济发展，以及防范受民族国家影响的恶意供应商，各国实施了供应链限制并减少了贸易。然而，保护主义可能会让已经从这些供应商那里购买产品的公司变得更加脆弱，无法更新其硬件和软件。此外，尖端人才的流动可能会受到限制，影响全球创新。

网络安全的基本性质正在不断扩展，几十年前的攻击方法仍然有效，随着攻击者的每一个新创新，防御者必须找出如何防御过去、现在和未来的攻击——而不会导致不可持续的防御成本增加。

在这一基本而艰难的现实之上，是攻击者和被围困的防御者之间的“军备竞赛”。进攻和防守能力的快速和持续发展要求防守者在一个非常有利于进攻者的环境中保持同步。人工智能的进步同时提供了巨大的机遇和危险。

先进的攻击技术和前所未有的自动化/可扩展性。总而言之，随着技术进步和数字化进一步支撑现代经济、国家安全和社会，网络安全专业人员必须保护的表面积将在2023年呈指数级增长。

犯罪分子为非法目的利用而常见的消费技术不良行为者，经常以新的方式将常见技术用于犯罪活动。社交媒体、加密和AI生成内容等技术已成为网络犯罪分子不可或缺的工具，并提升了他们接触受害者的能力。政府和公司运营在线平台通常难以实现有效、透明、可信且合法保护措施。

无论控制有多先进，人为因素通常会提供一个绕过它的途径。例如，黑客最近设计了一些方法，通过欺骗个人批准非法访问请求来规避多因素身份验证(MFA ),这是一种历史上很强的控制。阻止这些利用往往会产生摩擦，因为用户被迫花费额外的时间和精力来访问一个在线账户。最终，这会导致以牺牲生产效率为代价来降低风险，反之亦然，这可能会损害企业对安全职能的认识，并使重要的跨职能合作关系变得紧张。

美国国防部和其他联邦机构在2022年面临无数次网络攻击，这种趋势很可能在2023年继续。随着联邦机构越来越多地与卫星和通信等新兴领域的私营公司合作，保护这些依赖网络的国家安全资产的挑战仍然是2023年决策者必须面临的一个关键问题。

股市波动和急剧通胀影响了全球需求，并引发了对全球供应链和世界经济关键要素的冲击。2022年一项针对供应链高管的调查发现，92%的受访者已经改变了他们的供应链足迹，其中90%的受访者表示他们将在未来三年内追求本地化，强调全球经济的根本变化将继续。对2023年市场持续波动和利率上升的预期加剧了不稳定的地缘政治环境，并给整个网络安全部门带来风险。

在经济不确定时期，企业和政府将需要做出艰难的资源分配决策，包括人员、预算和时间。这些决策可能会产生或增加网络安全风险，要么直接通过减少网络安全支出，要么间接通过推迟对其操作环境和相应控制进行昂贵但重要的更新。网络安全也不能免受经济衰退的影响。研究表明，在经济衰退期间和之后，网络攻击会增加，例如美国联邦调查局（FBI）在2008年经济衰退后有记录的网络犯罪增加了22.3%。随着潜在的经济衰退即将到来，私营和公共部门可能面临更高的网络安全风险，同时解决资源分配决策的困难。

企业可能会通过推迟其合并和收购(M&A)整合、减缓报废和易受攻击的软件和硬件的退役或推迟网络卫生活动来承担更多的安全风险。延误可能会增加组织风险，并减缓创新网络技术的采用。

运营多年期固定成本网络安全技术投资的劳动力成本，以及相应的无法自动化日常网络安全任务，可能会危及组织从其投资中获益和抵御常见威胁的能力。

（3）初创公司面临的风险可能导致创新减少

如果经济衰退持续到2023年，初创公司拥有的储备资本较少，比老牌公司更早、更严重地受到市场低迷的影响。由于网络安全初创公司在帮助识别和应对新出现的网络安全威胁方面发挥着关键的创新作用，因此组织可能无法跟上不断变化的威胁形势。

在美国，由于其全球关系而在国际上，公司在由国家、州和地方当局实施的所需网络安全、数据安全和隐私法规的错综复杂关系中运营，具有不同的规定要求。

当前的法律要求组织必须在特定的时间框架内报告网络安全事件，无论是在事件发生后的几小时内还是几天内。但是，在报告之前，需要更清楚地说明事件缘由以及是否必须对事件进行确认。我们必须考虑这些要求给全球公司带来的挑战，这些公司需要应对管理数据主权、本地化和隐私的各种法规。未能让企业界和各种利益相关者理解他们的优先事项可能会导致进一步的意外后果。随着法律数量的增加及其要求的进一步分化，政府、企业、监管者和决策者将需要努力应对这一不断扩大的政策格局。

（1)数据隐私和违规披露法律的分割

截至2023年1月，美国已有五个州颁布了全面的消费者隐私法，其他许多州也在考虑制定之中。与此同时，许多州已经推出了数字身份证。但是，每个州都有自己的数字法律设备，这增加了组织需要遵守的复杂性和成本。中型企业承担了不成比例的负担，他们渴望更广泛地开展业务，但缺乏法律和合规方面的复杂性，无法完全遵守这些法规。

（2)迅速提升的网络安全控制要求

作为签约过程的一部分，公司通常会与单个业务伙伴协商具体的控制要求。对于非政府组织来说，跟踪法规遵从性、规划一致性并针对日益复杂的法规遵从性环境提供有意义的保证变得越来越困难，成本也越来越高。

（3)一刀切的监管

为了应对更频繁的网络威胁，各国政府正在加强对私营部门网络安全实践的监督。但网络安全是动态的，为每个组织量身定制，需要灵活的方法。因此，监管需要考虑特定行业和组织的需求——它们执行的各种任务以及它们处理的数据类型。由于政府和监管者的目标是降低网络风险，他们可能会采用一种笼统的方法，忽略一些部门的关键漏洞，并在其他部门造成沉重的合规成本。

近年来，美国经历了向更大的企业网络安全治理的重大转变，首席信息安全官(CISO)和其他负有网络安全责任的个人在企业董事会中变得更加突出。随着这些趋势持续到2023年，重大漏洞仍有待解决，以确保企业环境中的网络准备就绪。例如2021年，财富100强的公司只有45%披露了网络管理和监督信息，另有46%的公司认为网络安全是其董事会寻求的专业领域。

尽管大公司在将精通网络的人才加入公司董事会和高级领导职位方面取得了一定进展，但许多公司仍然缺乏这些职位。因此，他们没有足够的管理专业知识、责任、思想多样性和监督来有效地管理他们的网络安全。

如果在全国范围内没有一致和标准化的公司治理实践，公司可能会面临不确定和具有挑战性的经营环境。中小型企业面临着巨大的网络威胁风险，通常缺乏基础设施和专业知识来充分应对网络攻击。这些企业的脆弱性是2023年网络安全格局的一大风险。

（1)将企业网络安全与组织目标分开

在一些组织中，安全被视为不同于或反对其他目标，有效地免除了业务、信息技术和其他职能部门对组织整体网络安全有效性的责任。管理层可能会忘记安全是他们任务的一个基本要素。

（2)安全专业人员和最高管理层之间的距离

成功应对复杂的网络安全威胁需要组织内多个职能部门做出快速、协调的响应，包括执行团队和董事会。尽管较低级别的安全人员可以实时或接近实时地访问事故信息，但大型组织固有的官僚作风抑制了信息向上和横向的快速有效流动。

没有创建和维护网络安全信息和决策快速通道的组织可能会错失在事态扩大之前遏制较小事态的机会。管理阶层中缺少CISO或CSO可能会将重要的背景或主题专业知识排除在决策制定之外。

（3)通过多道防线加强监督

如果报告网络威胁的沟通渠道没有很好地建立或定义，它们不利于风险管理。此外，如果董事会或管理层没有得到组织内其他级别的通知，他们可能无法预测新出现的威胁。

（4)董事会中缺乏技术专家

全面的网络治理和监督有助于识别、应对和减轻网络威胁。这些威胁的复杂性和精密性使得没有适当领域经验和技术敏锐度的监督者很难有效地管理它们。没有适当专业知识的董事会可能无法提供方向，使企业面临威胁。

公共和私营部门都没有为重大网络安全灾难做好足够的准备，也没有对抵御灾难的能力进行足够的投资，这造成了一个持续到2023年的重大脆弱性。最近的受害者横跨运输、金融服务、流媒体、非营利组织、医疗卫生、肉类加工和能源等行业。在基础设施方面，2022年，勒索软件影响了美国200多个地方政府、学校和医院。这些漏洞可能会带来生死攸关的影响：一项对受害医疗卫生机构的调查发现，四分之一的受访者在遭遇勒索软件攻击后死亡率上升。在海外，针对美国及其盟国基础设施的大规模基础设施攻击存在漏洞，表明需要保持警惕。

对危机准备的自满也可能导致财务后果或机密信息的丢失。未能做好准备并投资于最新技术可能会导致数据泄露、网络钓鱼攻击、内部威胁和其他风险。对第三方和第四方运营商的依赖也可能给网络系统带来额外的风险。即使有足够的防御措施，缺乏可信的测试或操作弹性也会使组织对新出现的威胁毫无准备。

在整个网络安全生态系统中，防御者依赖于不完整和不完善的数据。决策者缺乏关于威胁、攻击者、利用和漏洞的全面、及时的数据和趋势。影响是深远的：决策者无法提供数据驱动的建议，组织无法有效地确定对策的优先次序并控制投资。在网络安全数据缺口得到解决之前，网络安全固有的不对称将继续存在，这种不对称让坏人比防御者更有优势。

在应对网络攻击威胁时，正式的危机规划、业务连续性和灾难恢复至关重要。然而，静态计划是不够的，也不适合。如果没有定期的弹性审查和有效的程序测试，威胁将会产生更大的后果。由于这些系统许多是相互关联的，一家公司缺乏弹性会给整个行业带来集体风险。

参与者讨论他们在假设的紧急情况中的角色的枯燥的“桌面”演练不能代表现实生活中的危机。通常，演练练习仅限于IT人员和较低级别的员工。当组织未能在从董事会到主题专家的所有级别进行演练，并且没有广泛吸收来自多个组织学科的参与者时，他们在危机响应执行中会留下缺口。

过度依赖一家公司或一种网络防御策略会使系统暴露于攻击和其他漏洞之下。但是，即使公共和私营部门多样化使用网络安全产品，供应链安全风险管理仍然不成熟。政府和公司压倒性地依赖于缺乏可核实的保证和持续的问卷和其他手段。尽管商业服务开始通过基于威胁情报、边界扫描和其他措施的评估来填补这一空白，但最近的一项研究发现，只有34%的IT安全专业人员相信第三方会通知他们的合作伙伴数据泄露。与此同时，在类似的一项研究中，很大一部分美国受访者经历过因第三方云违规(45%)或数据泄露(39%)而导致的重大中断。

网络保险成本的上升可能会阻止中小企业获得保险。SMB（中小企业）不仅依靠网络保险来转移风险，还能在发生事故时接受违规指导和支持。如果保险成本过高，中小企业可能会发现自己无力应对网络攻击。此外，一些保险公司使用排除条款，这可能会给人一种错误的印象，即一家公司已经承保了事故。

个人疏忽是数据泄露的重要原因。一项2022年的研究发现，82%的违规涉及人为因素，网络钓鱼是使用的主要社会工程策略。风险水平仍然很高，因为这一比例没有下降的迹象。不良的安全习惯包括弱密码、意外点击钓鱼链接、丢失设备以及雇主主导的培训不足。

在美国，关键基础设施面临独特的网络安全威胁，因为这些服务分担公共和私人责任。网络信息安全局(CISA)将关键基础设施定义为“社会赖以维护国家安全、经济活力和公共健康与安全的资产、系统、设施、网络和其他要素”，其中许多系统严重依赖州和地方机构以及第三方和第四方供应商，他们可能缺乏必要的网络安全控制。由于这些相对较小的运营商对其服务的广泛系统性依赖，其脆弱性造成了巨大的风险。

（1）金融基础设施的稳定和安全

对于寻求金钱利益的网络罪犯来说，金融系统本身就是一个极具吸引力的目标。此外，金融干预是寻求破坏整个经济或发表反对资本主义声明的民族国家的逻辑策略。与此同时，消费者对便利和选择的日益增长的需求推动了快速变化，包括银行以及网上银行和科技公司的融合。在一个历史上稳定的行业中，这种转变速度可能会导致安全控制方面的差距，并为黑客提供更多探测漏洞的空间。

（2）公共设施的安全和可靠运行

支撑美国经济的电网、水厂、其他公用事业和基本服务都在经历更严重的网络攻击，威胁着日常活动的连续性。信息技术(IT)和运营技术(OT)分别给数字和物理基础设施带来不同的风险。管理这些服务的机构可能还没有适当的领导和资源来有效地评估和减轻因IT和OT系统的融合而产生的漏洞。

（3）政府基本服务的可靠运作

有效和高效地提供服务是各级政府——地方/市、州和联邦政府的基本职责。这一职责不仅限于选举安全，还包括基本服务，如治安和刑事司法、应急反应、管理社会福利和福利项目，以及关注医疗和食品安全。2023年，对各级政府服务的网络攻击将继续增加，这是恶意行为者剥夺西方政府和民主合法性的更广泛议程的一部分。

易受攻击的软件、操作系统或其他基础设施几乎总是导致安全事故和数据泄露的因素。对于各种规模的组织来说，跟上修补和更换报废软件和硬件的步伐是一项重大的运营负担。如果忽略这一需求，成本、复杂性和事故发生的可能性都会随着时间的推移而成倍增加。

组织努力留住网络安全人员，使他们面临网络风险。“大辞职”、远程工作、云的采用、人工智能、消费者通胀压力和其他因素都在加剧这种情况。在2022年的一项调查中，财富100强的公司只有1%表示他们拥有足够的内部数字人才，低于2020年的10%。全球疫情驱动的教育程度差距的影响尚未显现，可能会进一步导致网络安全人才短缺。当今的安全运营中心不得不继续雇用熟练的员工来防御云存储和情报驱动的攻击以及其他新出现的威胁。如果没有技能娴熟的人才来应对这些新挑战，组织的安全状况将会下降。

根据2022年网络安全劳动力研究，仅美国就有大约70万个网络安全职位空缺。随着对训练有素的网络安全专业人员需求的增长，这一数字将会增加。由于这种需求，加上供应短缺，熟练从业者的工资持续上涨，实际上导致许多政府实体和中小企业被挤出市场。组织面临网络安全风险的权衡，这些角色仍然空缺。

随着企业和政府机构越来越依赖数字资产来完成其核心使命，其管辖范围内的技术和运营资产持续增长。这需要顶尖人才来领导网络现代化工作，也需要劳动力来执行网络安全。自动化可以缓解一些劳动力需求，但需要进一步的制度支持。如果自动化和人工支持都缺乏，最有才华的网络专业人员将发现不可能执行和进行成熟的网络操作。如果私营部门资源和人员不足，政府也要分担责任。

以下包含工作组确定的宏观风险和风险因素的扩展列表。这些要么不符合八大宏观风险之一，要么没有2023年的具体重点。

在整个工作组会议期间，成员们确定了几个值得纳入报告的风险和威胁，这些风险和威胁不同于主要风险的集体共识。这些风险主要是在头脑风暴阶段收集的。他们的加入旨在提供对网络风险/威胁前景的进一步见解，并代表来自我们工作组成员的不同背景的意见。其他主要风险分为两类：战略风险和运营威胁。

战略级风险——代表网络安全问题宏观层面的已识别风险。没有与它们相关的具体威胁，但它们可能会随着时间的推移而成倍增加。一些被确定为极有可能，但不具体到2023年的时间表。

运营威胁——代表对网络安全运营的微观威胁。与这里确定的战略风险一样，一些风险被认为是可能的，但不是特定于2023年的时间表。这些威胁也来自工作组的直接经验，而且发生的频率越来越高。