ESG觀察:儘管人工智能帶來的風險上升,但公司對網絡犯罪“自滿” | 路透社

Mike Scott

Meta AI的標誌出現在瑞士達沃斯世界經濟論壇第55屆年會上公司的大樓屏幕上,2025年1月24日。路透社/伊夫·赫爾曼1月30日 - 在世界經濟論壇最新的全球風險報告中,十大風險中有三個是技術相關的:錯誤信息和虛假信息;人工智能技術的不良結果;以及網絡間諜和戰爭。因此,網絡安全成為最近達沃斯WEF會議的一個關鍵主題也就不足為奇了。“網絡空間變得極其複雜,”WEF網絡安全中心負責人阿克沙伊·喬希説。

“當組織急於利用人工智能等新技術時,這引入了我們現在需要防範的新風險。”

根據WEF的2025全球網絡安全展望,不斷升級的地緣政治緊張局勢導致公司和政府受到來自國家行為者、犯罪團伙和個人的攻擊越來越多。報告指出,供應鏈的複雜性正在導致“更加不透明和不可預測的風險環境”,同時網絡犯罪分子正在利用新技術“實現更大的複雜性和規模”。

卡羅琳·埃斯科特,Railpen的高級投資經理,負責可持續所有權,表示網絡風險正成為投資者日益關注的問題。

“我們一直在與那些最容易受到網絡問題影響的公司進行溝通,無論是因為他們所處的行業,還是因為他們的準備不足。”

最容易受到風險的行業包括醫療保健,因為它擁有大量個人專有信息,金融服務,能源公用事業和基礎設施,攻擊可能導致重大幹擾。但她補充道:“沒有一個人不面臨來自有組織的團伙、個人或國家支持實體的攻擊風險。”

一名護士檢查患者的醫療記錄。醫療保健是最容易受到網絡攻擊的行業之一,因為它持有大量個人專有信息。路透社/布拉德·鮑爾自2019年以來,Railpen一直是由皇家倫敦資產管理公司領導的投資者聯盟的一部分,專注於解決投資組合中的網絡風險。該聯盟最近發佈了一份報告,關於投資者如何與其投資組合公司就此問題進行互動。“網絡韌性可能不是投資者在構建和審查其投資組合時的首要任務——但它絕對應該是,”埃斯科特説。“世界經濟論壇報告稱,過去12個月內,29%的組織受到網絡事件的實質性影響。”

國家級攻擊者正在針對易於訪問和普遍存在的軟件產品和硬件設備,黑莓公司產品管理高級總監保羅·韋伯表示。“中國故意選擇脆弱的網絡基礎設施——基本上是路由器——因為它們可以利用未修補的漏洞進行滲透”——安全缺陷或軟件、硬件或系統中的弱點尚未通過更新或補丁解決。

葉夫根尼·貢查羅夫是俄羅斯網絡安全公司卡巴斯基工業控制系統網絡應急響應團隊的負責人。

他説,投資者很難評估公司的風險暴露,因為“我們可以從公共來源和官方聲明中計算出的攻擊數量與公司私下所説的之間存在很大差異。”

雖然攻擊對依賴IT的企業(如媒體、金融服務和零售)影響非常明顯,但對製造商的攻擊則不那麼明顯。運營技術比IT更脆弱,因為提供軟件更新以修復漏洞更為困難。物聯網的普及也增加了風險。

他指出,給設備加裝傳感器可能只會使整個基礎設施更加脆弱。“公司需要以更具戰略性的方式審視所有設備,以查看如何提高安全性。產品應由網絡安全團隊進行測試,並且在設計階段也需要引入網絡安全。”

黑莓的韋伯警告説,生成性人工智能的採用速度遠遠快於治理的發展和控制能力。

“人們很快就來到市場,但他們沒有成熟的網絡控制。用户無法限制他們暴露的數據以及這些數據的處理方式。沒有人知道這些數據存儲在哪裏,”他説。

人工智能也在增加“攻擊面”的大小,使攻擊者更容易找到漏洞,並使網絡釣魚攻擊更具説服力,同時允許他們同時針對更多人。

在達沃斯發言時,網絡安全集團Exabeam的首席產品官Steve Wilson提到了一個在網絡安全圈中臭名昭著的案例:2024年,一家英國工程集團因一名員工在與他認為是公司首席財務官及其他員工的視頻會議後,將約2500萬美元轉移到五個不同的香港銀行賬户而損失慘重。所有這些都是人工智能生成的深度偽造。

在2022年7月1日,西班牙巴塞羅那的巴塞羅那-埃爾普拉特機場,反映在帶有Easyjet標誌的玻璃上的乘客在Easyjet機組人員罷工期間走動。路透社/阿爾貝特·蓋亞監管機構在跟上網絡犯罪的步伐方面苦苦掙扎,Webber表示,法規在全球範圍內的引入不均衡。

歐洲一直是最積極的地區之一。歐盟的NIS2(網絡和信息系統)指令於2024年10月生效,要求18個關鍵行業的公司實施更好的網絡韌性,並引入改進的供應鏈安全以及即時響應計劃。而DORA(數字運營韌性法)規則於1月13日生效,重點關注金融服務行業。

“我們在等待英國類似的立法——網絡韌性法案預計將在2025年提出,我們預計它將與歐洲立法大致相似,”韋伯補充道。

世界經濟論壇的報告還指出,技能差距正在擴大,這妨礙了有效管理網絡風險的努力。

“技能差距非常嚴重,這真的很重要,”韋伯同意道。“攻擊的數量和類型呈指數級上升,技術進步進一步加劇了這一點,而網絡技能的水平並沒有跟上。”

他指出,網絡安全的基石是採用“零信任”方法。“如果默認情況下你不信任任何人,並不給他們訪問你的數據的權限,這就引入了一種韌性。”

傑伊·喬德里是雲安全公司Zscaler的創始人,也是零信任方法的主要倡導者。在達沃斯接受印度《商業今日》雜誌採訪時,他表示:“我們仍在使用30年前的網絡安全技術——防火牆和VPN來構建護城河。但一旦有人進入城堡,我們就沒有防禦。零信任架構現在正在全球範圍內被採納。我們不讓你進入城堡並隨意活動。”

韋伯表示,公司需要在要求供應商提供他們已實施自身網絡防禦的證據方面更加嚴格。“人們通常在做正確的事情,詢問供應商是否擁有網絡安全認證和政策,但在許多情況下,他們只是在合同開始時這樣做,並沒有要求證據。他們需要持續評估這一點。最佳做法是至少每季度進行一次。”

儘管圍繞網絡犯罪有很多關注,但他補充説,仍然存在自滿。在世界經濟論壇的報告中,僅有11%的受訪者對財務損失表示擔憂,12%對聲譽損害表示擔憂。但黑莓公司對網絡攻擊實際發生情況的調查顯示,62%的受影響者遭受了財務損失,57%遭受了聲譽損害,而59%還遭受了數據丟失——這一點在世界經濟論壇的報告中甚至沒有提到。

“期望與實際發生之間存在很大的不匹配,”韋伯説。

  • 建議主題:
  • 可持續金融與報告
  • ESG投資者 所表達的觀點僅代表作者本人。這些觀點並不反映路透社新聞的觀點,路透社新聞在信任原則下,致力於誠信、獨立和無偏見。道德公司雜誌是路透社專業的一部分,歸湯森路透所有,並獨立於路透社新聞運作。