網路風險的時代背景與核心業務轉型

網路風險已成為現代商業環境中揮之不去​​的背景噪音，我們無法選擇威脅情勢，但我們可以選擇如何應對。對領導者而言，關鍵不在於恐慌，而在於清晰的認知。網路安全如今已成為一項核心業務，而非IT專長。

預計到2025年第一季度，每個組織每週將遭受近兩千次攻擊，比去年同期成長47%。這一激增反映了兩個同時發生的現實：一方面，攻擊數量確實在增加，因為發動攻擊比以往任何時候都更容易、成本更低；另一方面，防禦者越來越擅長發現以前容易被忽略的攻擊。

領導者的職責在於順應形勢，適應威脅的步伐，並建立能夠抵禦威脅、快速反應並持續發展的組織。

威脅情勢的加速與三大塑造力量

塑造威脅格局的三大力量：

1. 網路犯罪已經產業化。「犯罪即服務」意味著潛在的攻擊者不再需要是技術高超的程式設計師。市場獎勵專業化和速度，從而降低了犯罪分子的成本和風險。結果是，各個領域都充斥著源源不絕的投機攻擊。
2. 定向網路釣魚攻擊已經變得更加個人化。攻擊者越來越注重精心策劃，力求讓電子郵件、簡訊或語音通話對特定目標用戶來說顯得真實可信。當海量的開源資料與深度偽造語音工具和精心設計的模板相結合時，對於忙碌的高管或應付帳款員來說，這「一鍵下單」的誘惑就顯得更加可信。這就是為什麼許多資料外洩事件並非始於零日漏洞，而是始於社會工程攻擊。人是攻擊者的入口。
3. 人工智慧極大地增強了攻防兩端的能力。在攻擊方面，生成式工具消除了語言障礙，完善了語法，並能大規模地個性化誘餌。在防禦方面，人工智慧幫助我們對警報進行分類，發現異常情況，並縮短潛伏時間。但問題在於：犯罪者迭代速度極快，我們無法透過自動化來解決這個問題。然而，我們可以更好地管理和執行它。

地緣政治不確定性下的網路邊界模糊化

再加上地緣政治的不確定性，局勢就更加動盪不安了。緊張局勢蔓延到網路空間，民族國家及其聯盟模糊了間諜活動、破壞活動和犯罪牟利之間的界線，供應鏈變成了傳播管道。董事會關於網路安全的討論不能脫離戰略、營運或地緣政治而孤立進行，背景至關重要。

在這種環境下，什麼是好的？

建立企業韌性的關鍵策略：實踐中的卓越表現

首先要樹立「假定存在安全漏洞」的心態。如果惡意攻擊者只需要一次僥倖就能得手，那麼你的企業就必須具備安全失效的能力。這意味著要有強大的身份控制、在所有合理的地方啟用多因素身份驗證、限制橫向移動的隔離措施，以及經過測試且可恢復的備份。

將資安意識融入工作流程

工程師致力於幫助人們做出更明智的決策。如果傳統的意識培訓脫離實際工作，其效果將大打折扣。用即時提示取代通用模組，這些提示應整合到人們實際使用的工具中。

緊急應變的團隊協作與肌肉記憶

將緊急應變練習視為團隊運動。當突發事件發生時，你無法挺身而出，只能依靠準備工作來應對。進行包含法律、溝通、營運、財務和管理團隊在內的真實情境演練。事先明確何為重大事件、誰負責溝通以及在恢復期間如何繼續為客戶提供服務。目標不是編寫一套完美的腳本，而是形成肌肉記憶。

審視並管理供應鏈依賴風險

仔細審視你的依賴關係。你的風險取決於合作夥伴的控制措施以及你自己的控制措施。優先對關鍵供應商進行盡職調查，要求他們及時通知你發生的事件，並建立技術和合約方面的安全保障機制。如果第三方遭到入侵，你能多快切換、隔離或在降級模式下繼續運作？這個問題應該有一個清晰且經過實踐檢驗的答案。

將網路安全轉化為可量化的商業價值

最後，將網路安全轉化為商業語言。董事會不需要每季都了解威脅情勢；他們需要了解的是影響、因應方案和權衡取捨，盡可能量化風險敞口。將投資與可量化的結果掛鉤—例如縮短偵測和恢復時間、提高創收流程的韌性、降低高風險事件的發生頻率。網路安全並非無底洞般的成本中心，而是成長、信任和可靠績效的推動力。

領導力定調：將合規性檢查提升為戰略能力

最後，領導者必須定下基調。如果將網路安全僅視為一項合規性檢查，員工只會滿足於最低要求。但如果將其視為一項策略能力——一項能夠保護客戶、維護品牌價值並確保企業在壓力下正常運作的能力——就能激發員工的活力和創造力。在這個時代蓬勃發展的組織，並非那些承諾將所有攻擊者拒之門外的組織，而是那些正視風險現實、將韌性融入企業營運結構、並在意外事件發生時透過有效應對贏得信任的組織。