網路攻擊成功的核心原因：遺留系統的隱性風險

網路攻擊者往往不是因為技術高超才得逞，而是因為他們攻擊的目標系統老舊。思科的一份新報告顯示，國家基礎設施中缺乏支援的現有技術會造成漏洞，使攻擊者能夠重複利用這些漏洞。研究結果表明，這個問題已經非常普遍，並且對國家安全韌性造成了巨大影響。

缺乏支援的技術與日益嚴重的「技術債務」

一個日益嚴重且難以忽視的問題 早在2020年，全球近一半的商業網路資產就已經老化或過時，而且這個問題從此愈演愈烈。在英國，2024年政府部門共識別出228個遺留系統，其中超過四分之一的系統極有可能出現運作或安全故障。一旦系統停止支援，它們將不再接收安全補丁，並成為持續存在的安全漏洞。這個問題不僅限於在後台靜默運作的老舊設備，不受支援的系統通常位於網路邊緣，而這些邊緣正是風險最高的地方。

關鍵產業面臨的持續性壓力與系統脆弱性

產業壓力持續增加 醫療保健產業在幾乎所有受評估國家中都是風險最高的產業，這主要是由於其服務關乎生命安全、系統相互關聯、更新周期長以及資料敏感等因素造成的。 水務和能源系統也面臨持續不斷的威脅，報告回顧了2024年2月發布的諮詢報告，該報告揭露了名為「伏特颱風」（Volt Typhoon）的組織試圖廣泛破壞美國水務、能源、交通和通訊網路的企圖。 製造業和金融業看似相對穩定，但仍存在重大風險。許多運營商依賴類似的技術棧。如果更新延遲或繼續使用不受支援的系統，共用元件可能會將單一漏洞演變成更大規模的事件。

網路風險的代價：緩慢的恢復與巨大的經濟損失

思科高級副總裁兼首席政府戰略官傑夫·坎貝爾表示：“攻擊者發起破壞性網絡攻擊的最初切入點通常是未打補丁或過於老舊而無法打補丁的IT系統。這被稱為‘技術債務’——過時的技術無法打補丁或無法安全運行所帶來的隱性責任。”

如今，各機構平均需要七個月左右才能恢復全面運營，而那些在韌性建設方面投入較少的機構則需要更長時間。例如，2024 年 Synnovis 遭受的網路攻擊中斷了超過 11,000 次患者就診，造成超過 3,900 萬美元的損失。