ESG观察:尽管人工智能带来的风险上升,但公司对网络犯罪“自满” | 路透社

Mike Scott

Meta AI的标志出现在瑞士达沃斯世界经济论坛第55届年会上公司的大楼屏幕上,2025年1月24日。路透社/伊夫·赫尔曼1月30日 - 在世界经济论坛最新的全球风险报告中,十大风险中有三个是技术相关的:错误信息和虚假信息;人工智能技术的不良结果;以及网络间谍和战争。因此,网络安全成为最近达沃斯WEF会议的一个关键主题也就不足为奇了。“网络空间变得极其复杂,”WEF网络安全中心负责人阿克沙伊·乔希说。

“当组织急于利用人工智能等新技术时,这引入了我们现在需要防范的新风险。”

根据WEF的2025全球网络安全展望,不断升级的地缘政治紧张局势导致公司和政府受到来自国家行为者、犯罪团伙和个人的攻击越来越多。报告指出,供应链的复杂性正在导致“更加不透明和不可预测的风险环境”,同时网络犯罪分子正在利用新技术“实现更大的复杂性和规模”。

卡罗琳·埃斯科特,Railpen的高级投资经理,负责可持续所有权,表示网络风险正成为投资者日益关注的问题。

“我们一直在与那些最容易受到网络问题影响的公司进行沟通,无论是因为他们所处的行业,还是因为他们的准备不足。”

最容易受到风险的行业包括医疗保健,因为它拥有大量个人专有信息,金融服务,能源公用事业和基础设施,攻击可能导致重大干扰。但她补充道:“没有一个人不面临来自有组织的团伙、个人或国家支持实体的攻击风险。”

一名护士检查患者的医疗记录。医疗保健是最容易受到网络攻击的行业之一,因为它持有大量个人专有信息。路透社/布拉德·鲍尔自2019年以来,Railpen一直是由皇家伦敦资产管理公司领导的投资者联盟的一部分,专注于解决投资组合中的网络风险。该联盟最近发布了一份报告,关于投资者如何与其投资组合公司就此问题进行互动。“网络韧性可能不是投资者在构建和审查其投资组合时的首要任务——但它绝对应该是,”埃斯科特说。“世界经济论坛报告称,过去12个月内,29%的组织受到网络事件的实质性影响。”

国家级攻击者正在针对易于访问和普遍存在的软件产品和硬件设备,黑莓公司产品管理高级总监保罗·韦伯表示。“中国故意选择脆弱的网络基础设施——基本上是路由器——因为它们可以利用未修补的漏洞进行渗透”——安全缺陷或软件、硬件或系统中的弱点尚未通过更新或补丁解决。

叶夫根尼·贡查罗夫是俄罗斯网络安全公司卡巴斯基工业控制系统网络应急响应团队的负责人。

他说,投资者很难评估公司的风险暴露,因为“我们可以从公共来源和官方声明中计算出的攻击数量与公司私下所说的之间存在很大差异。”

虽然攻击对依赖IT的企业(如媒体、金融服务和零售)影响非常明显,但对制造商的攻击则不那么明显。运营技术比IT更脆弱,因为提供软件更新以修复漏洞更为困难。物联网的普及也增加了风险。

他指出,给设备加装传感器可能只会使整个基础设施更加脆弱。“公司需要以更具战略性的方式审视所有设备,以查看如何提高安全性。产品应由网络安全团队进行测试,并且在设计阶段也需要引入网络安全。”

黑莓的韦伯警告说,生成性人工智能的采用速度远远快于治理的发展和控制能力。

“人们很快就来到市场,但他们没有成熟的网络控制。用户无法限制他们暴露的数据以及这些数据的处理方式。没有人知道这些数据存储在哪里,”他说。

人工智能也在增加“攻击面”的大小,使攻击者更容易找到漏洞,并使网络钓鱼攻击更具说服力,同时允许他们同时针对更多人。

在达沃斯发言时,网络安全集团Exabeam的首席产品官Steve Wilson提到了一个在网络安全圈中臭名昭著的案例:2024年,一家英国工程集团因一名员工在与他认为是公司首席财务官及其他员工的视频会议后,将约2500万美元转移到五个不同的香港银行账户而损失惨重。所有这些都是人工智能生成的深度伪造。

在2022年7月1日,西班牙巴塞罗那的巴塞罗那-埃尔普拉特机场,反映在带有Easyjet标志的玻璃上的乘客在Easyjet机组人员罢工期间走动。路透社/阿尔贝特·盖亚监管机构在跟上网络犯罪的步伐方面苦苦挣扎,Webber表示,法规在全球范围内的引入不均衡。

欧洲一直是最积极的地区之一。欧盟的NIS2(网络和信息系统)指令于2024年10月生效,要求18个关键行业的公司实施更好的网络韧性,并引入改进的供应链安全以及即时响应计划。而DORA(数字运营韧性法)规则于1月13日生效,重点关注金融服务行业。

“我们在等待英国类似的立法——网络韧性法案预计将在2025年提出,我们预计它将与欧洲立法大致相似,”韦伯补充道。

世界经济论坛的报告还指出,技能差距正在扩大,这妨碍了有效管理网络风险的努力。

“技能差距非常严重,这真的很重要,”韦伯同意道。“攻击的数量和类型呈指数级上升,技术进步进一步加剧了这一点,而网络技能的水平并没有跟上。”

他指出,网络安全的基石是采用“零信任”方法。“如果默认情况下你不信任任何人,并不给他们访问你的数据的权限,这就引入了一种韧性。”

杰伊·乔德里是云安全公司Zscaler的创始人,也是零信任方法的主要倡导者。在达沃斯接受印度《商业今日》杂志采访时,他表示:“我们仍在使用30年前的网络安全技术——防火墙和VPN来构建护城河。但一旦有人进入城堡,我们就没有防御。零信任架构现在正在全球范围内被采纳。我们不让你进入城堡并随意活动。”

韦伯表示,公司需要在要求供应商提供他们已实施自身网络防御的证据方面更加严格。“人们通常在做正确的事情,询问供应商是否拥有网络安全认证和政策,但在许多情况下,他们只是在合同开始时这样做,并没有要求证据。他们需要持续评估这一点。最佳做法是至少每季度进行一次。”

尽管围绕网络犯罪有很多关注,但他补充说,仍然存在自满。在世界经济论坛的报告中,仅有11%的受访者对财务损失表示担忧,12%对声誉损害表示担忧。但黑莓公司对网络攻击实际发生情况的调查显示,62%的受影响者遭受了财务损失,57%遭受了声誉损害,而59%还遭受了数据丢失——这一点在世界经济论坛的报告中甚至没有提到。

“期望与实际发生之间存在很大的不匹配,”韦伯说。

  • 建议主题:
  • 可持续金融与报告
  • ESG投资者 所表达的观点仅代表作者本人。这些观点并不反映路透社新闻的观点,路透社新闻在信任原则下,致力于诚信、独立和无偏见。道德公司杂志是路透社专业的一部分,归汤森路透所有,并独立于路透社新闻运作。