降低数字化未来的风险

阿联酋迪拜 8 八月 2023

互联互通数字化世界是涵盖商业、治理和休闲、万物互联的超级网络，这一愿景承载着人们对无数社会效益的希望。人人都听说：一种更快、更高效、更令人满意的生活方式正在袭来。

希望真的如此。如果您像安利捷一样经营着某项业务，您就能以前所未有的精准度为目标客户提供个性化的产品和服务。如果您管理着公共服务，您可以响应实时用户数据并相应地分配资源，实现无缝操作。如果您是是患者，您可以远程监测健康状况并立即开具治疗处方，就像这篇 Abdul Latif Jameel Health 文章中讨论的一些健康技术创新一样。几乎人人都可以管理网上购物，商品不可思议地准时出现在您家门口，仿佛商家能读懂您的心思。

不过，也许商家已经看透了您的心思，在某种程度上。也许它在网上搜寻了您的消费习惯、追踪了您的数据轨迹，甚至您自己还没有得出结论，它就有了结论。

在这种情况下，让我们进一步考虑这个场景。

如果有一天，商家的数据遭遇泄露，他们掌握的有关您的有关信息落入了不太谨慎的人手中，该怎么办？

我们再进一步谈谈这个场景。

您可能希望“系统”（银行、立法者、司法部门）助您一臂之力，但如果这些系统本身也经常被网络攻击、性能削弱，无能为力呢？

对一些人来说，数字转型的梦想可能突然听起来有点怪异。这种奇怪的感觉也许是数百万人同时意识到，向数字社会转型并非没有风险。研究表明，工作、家庭和治理方面的数字化转型充满了风险和潜在的利用机会。

这种焦虑似乎不太可能阻止转型。《2023 年数字业务研究》调查了北美、亚太地区以及欧洲、中东和非洲的近 1,000 名 IT 领导者，结果显示目前 93% 的决策者在追求数字优先的业务战略。[1]此外，他们还积极投资云原生平台、网络安全网格、决策智能和生成式 AI（人工智能）等使能技术。

踏上数字旅程，要想获得非凡的回报，我们必须提前发现陷阱，并尽可能为消除风险奠定基础。因为威胁是真实存在的。大约 85% 的组织报告称，2021 年至少有一次网络攻击得逞，数据泄露的平均成本达到 424 万美元。[2]

深谋远虑有助于确保即将到来的数字化转型是民主、安全的，有利于大多数人而不是少数人。只有这样，我们才能尽享全新插入式、开机式、联机式社会的效率。

量化风险矩阵

不全面了解相关风险并尽量减少其影响的策略，就不应踏上数字化之旅。

全球商业咨询公司德勤确定了组织注定要在数字化转型中遇到的一系列关键风险领域。[3]

技术：如何保证技术的未来，因为技术本身就很容易失效、快速过时。风险包括兼容性、可扩展性和准确性方面的问题。
网络保护：加强数字财产，防止未经授权的访问，并保持整个集成系统的机密性。
数据泄露：确保整个生态系统的数据完整性非常复杂，无论是使用、传输还是存储数据。
第三方：任何与第三方合作伙伴合作的组织都面临数据共享和技术集成方面的外部风险。
隐私：必须极为谨慎地处理涉及员工和客户的敏感个人数据，包括有关选择和同意的关键控制措施。
取证：如果发生欺诈或安全漏洞，系统和数据必须接受审查，收集的证据必须足够有力，足以在法庭上使用。
监管依从性：内部专业知识必须足以确保业务符合国家法律和任何行业特定法规。
弹性：紧密交织的技术是很多现代企业的基石，然而系统某一部分的故障会迅速蔓延开来，导致整个服务不可用。

尽管存在这些明显的危险，但一项调查显示，只有 29% 的受访者认为他们的组织拥有“完善”的数据安全策略，41% 的人表示“正在开发”，23% 的人表示处于“规划”阶段。[4]

其中一些风险领域，特别是围绕数字依赖性和网络漏洞聚集的风险领域，表明了实现更可持续弹性的潜在途径，值得详尽探索。

未来的攻击：从恶意软件到勒索软件

分散式“Web 3.0”（互联网的新迭代，包含区块链技术和代币经济等概念）融合多种技术平台，会带来“更复杂的网络威胁环境和越来越多的致命失效点”^[5]。

这些危险不仅仅是金融方面的。它们还会对重要基础设施和社会凝聚力等基本支柱构成挑战。没有简单的解决方案。世界经济论坛 (WEF) 警告称，“网络威胁日益增长，正在超越社会有效预防和管理它们的能力。”

它强调了软件库 Log4j 的例子，2021 年底一个致命的安全漏洞暴露后，几天内每分钟就遭受了 100 多次黑客攻击。这些攻击表明了自由存取编码的传染性漏洞。前一年，SolarWinds Orion 攻击针对 IT 监控和管理软件，摧毁了全球网络安全供应链和数十万家企业的防御[6]。

恶意在线活动呈螺旋式上升趋势，肇事者几乎不会遇到障碍，也很少会被起诉。2020 年，恶意软件报告次数增加 358%，勒索软件案例增加 435%。[7]同期，被勒索软件诱骗的加密货币总量增长了四倍。

黑客还能通过数据泄露和分布式拒绝服务 (DDoS) 攻击来勒索目标，使用来自多个远程位置的资源攻击组织的在线操作。

迄今为止，数字剥削的受害者包括公用事业、医疗保健系统和数据丰富的公司，它们涵盖了当下各种规模的大多数公司。

问题不会自行消散。隐隐出现的人工智能驱动的恶意软件会使勒索金额呈指数级增长，预示着更大的声誉和财务威胁。有一点不足为奇，正如我们之前的 Abdul Latif Jameel Perspectives 文章中所探讨的，全球风险感知调查 (GRPS) 将“网络安全故障”列为十大日益增长的风险之一，换言之，85% 的世界经济论坛网络安全领导社区认为这是公共安全面临的一个主要问题。[8]从区域来看，“网络安全故障”是整个东亚、太平洋和欧洲的五大风险之一，其中四个国家（英国、爱尔兰、澳大利亚和新西兰）将其列为头号风险。

未来的技术轨迹引起了人们的担忧。量子计算可能很快就会强大起来，足以破解加密密钥，破坏这个长期以来保护金融和个人数据的防火墙。与此同时，元宇宙将为黑客和数据泄露带来更多访问点。到 2024 年，基于元宇宙的数字商务预计将超过 8000 亿美元，这些攻击将不可避免地会变本加厉。[9]

因价高而失去保护

无论是在公共部门还是私营部门经营，缓解数字化转型风险都是有代价的，无力承担者会切实感受到。中小型企业需要将 4% 以上的预算用于网络安全，而采用规模经济的大型竞争对手则计划进行约 1-2% 的投资。由于勒索软件屡见报端，网络保险可能会变得非常昂贵，一些企业可能完全负担不起。2021 年第三季度，美国网络保险成本增长了 96%，英国增长了 73%。[10]

那么，企业和政府可以采取哪些策略来降低数字化转型的风险，同时仍能从无数机会中获得最大价值？

加强防范数字困境

保护系统的完整性非常重要。换言之，不要让无关人士访问，防止有不良意图的人不必要的干扰。

一些策略正在成为可靠的防范措施。其中最主要的一个流程称为“平台强化”，它包含的几项技术可以减少服务器和计算机之间的漏洞：

网络强化：使用基于软硬件的防火墙保护数字基础设施，具有入侵者预防和警报控制功能。
操作系统强化：删除过时的服务和不必要的账户，同时确保安全设置符合行业标准。
远程系统强化：确保远程系统和设备的访问协议与其内部同等协议一样稳健，经常检查这些协议是否出现新的威胁。
数据库强化：采用访问控制措施、加密和高级安全设置，让关键数据库不易受到恶意入侵。
应用程序强化：调整第三方应用程序的设置，以防止宏等脚本攻击。

这些协议都需要进行频繁的漏洞测试，确保持续防范数字风险。好处有很多：安全性更强，系统性能更好，甚至能简化合规和审计工作。

数字可以说明安全优先化的价值。一项研究表明，半数以上的组织因具有远程访问权限的外部来源而遭受数据泄露，61% 的组织的安全漏洞利用了已知的漏洞，这些漏洞有可用的补丁，但没有部署。[11]

安全的数字政策会是什么样子？美国软件公司 Netwrix 的 IT 安全专家 Dick Schrader 等专家称，安全的数字制度有以下特点：

旧的、未充分利用的技术会定期从服务器上删除
平台、网络和应用程序被单独屏蔽，以防止未经授权的访问
云计算通过多因素身份验证 (MFA) 为每位用户提供保护而不计时间/生产力成本
数据在整个生态系统得到保护，重点是分类、保留、处理和加密
第三方技术集成、运营依赖和供应商弹性被视为整体数字化转型方案的一部分
隐私至关重要，个人数据遵循知情、通知、选择和准确性原则
遵守监管框架，违规行为可以通过司法手段证实
充分规划业务连续性、危机管理和 IT 灾难恢复，确保复原力。

闭门造车、孤军奋战不太可能激发广泛的变革。公司和国家/地区之间的合作可以带来几乎适合所有组织的解决方案，区块链和量子计算等新兴技术特别有效。

在商界，领导者必须接受网络安全相关问题的培训，而关于网络弹性的辩论必须成为董事会层面的常规活动。

最重要的是，如果没有客户和顾客这个最重要的群体的支持，组织不应当着手数字化转型。如果他们没有准备好转型，或者将他们整合到有损体验的系统和服务中，他们可能会寻求满足自身需求的其他方案。

数字化转型可能会带来的一个意想不到的威胁，就是这件事做错了，而且在这个过程中疏远了以前满意的合作伙伴。

捍卫充满活力的人类进步时代

加速向家庭办公的转变推动了过去二十年来一直持续的趋势。它的特点是越来越依赖数字系统，以及云服务器、应用程序编程接口 (API) 等支持性中间技术的数量激增，每种技术都有独特的风险和脆弱性。同时，对互联技术的需求也在不断扩大。

外部因素和看似无法控制的因素加剧了潜在的危险。在政府层面，地缘政治分歧扩大，让原本可以保护未来数字安全的国际协作分崩离析。跨境网络攻击和虚假信息活动持续增加，但没有足够遏制其传播的制衡措施。相互竞争的国家之间法律和执法机制不一致，显然无法阻止网络犯罪。

在日益动荡不定、复杂和模糊 (VUCA) 的世界中，私营企业往往需要“占卜”来预测国际联盟的变化。对于将数据处理转移到对数据隐私有更好控制的司法管辖区的可能性，企业应该持开放态度。

面对数字化转型风险，不作为可能带来的后果是组织无法掌控的。如果毁灭性的特洛伊木马加密病毒自我复制、不断突变、规避补救措施，开始占领主要的政府或商业服务器，有效逆转近年来的数字进步，会怎么样？如果私有 IT 基础设施和加密货币的趋势阻碍了保护金融系统和私有数据的监管工作，该怎么办？如果网络间谍活动最终阻止研发投资，让社会因缺乏商业信心而停滞不前，该怎么办？

数字转型最终会覆盖每个公共机构和每家企业，无论行业或规模如何，但某些行业必须注意自身承担的额外责任。如果在深入了解客户对成功至关重要的行业工作，比如零售或营销，那么通往数字驱动世界的道路风险与回报并存。收集可盈利数据的机会远超以往，防止这些个人见解落入坏人之手的压力也是从未如此之大。