现如今,企业的网络安全措施也正在受到最新法规的影响。而不断提升认知仍然是企业成功应对以上问题的关键因素之一。为此,TUV南德意志集团(以下简称“TUV南德”)总结了2023年最新网络安全趋势。
TUV南德全球网络安全办公室(CSO)全球负责人Sudhir Ethiraj介绍说:“网络安全风险是企业面临的最大风险之一。严峻的网络安全威胁,加之新法规的出台及实施,促使企业加大了在网络安全领域的投入。然而,特别是中小企业,其未来更多关注的则是网络安全解决方案的成本效益。”2023年,以下网络安全和发展趋势将成为企业关注的焦点:
TUV南德分析2023年网络安全趋势
经济高效的网络安全解决方案
由于总体经济形势带来的不确定性,加之新冠疫情的负面影响,2023年,企业对于经济、高效的安全解决方案及服务的需求将大幅增加。而中小企业的信息技术安全预算将尤其精打细算,并将彻底审视现有网络安全措施的成本效益。为加强供应链环节的网络安全,供应商不应再受到大量繁杂网络安全要求的束缚。相反,网络安全要求应实现标准化,并尽可能实现全球范围内的统一标准。
网络安全法规的实施
随着部分国家和国际网络安全法律和法规的出台,我们目前正在步入相关的实施阶段。如:
欧盟网络和信息系统安全指令(NIS)》将被NIS 2指令取代。NIS 2指令将实施更严格的监督和报告措施,并在整个欧盟范围内采取统一的控制措施。
《欧洲网络弹性法案(CRA)》草案是第一个在欧盟范围内,针对带有数字元素的设备和产品所制定的强制性网络安全要求的立法。
欧盟授权的《无线电设备指令(RED)》补充法规将自2024年8月起实施,届时,手机、平板电脑、智能手表等所有无线设备都将被纳入网络安全监管范围。
由于美国国内的网络安全实施法规日渐繁杂,美国网络安全与基础设施安全局(CISA)等国内管理机构正致力于实施适用于多个行业的网络安全要求。
然而,所有以上法规都有一个共同点,那就是,企业需要核查自身是否属于相关法规范围,以及如何以最有效的方式应对相关变化。考虑到国际范围内的实施,了解相关标准以及第三方认证将在未来发挥比以往更大的作用。
更为注重关键基础设施(KRITIS)
网络钓鱼、恶意软件和勒索软件攻击的频次始终处于上升趋势,并且在不久的将来仍将继续上升。鉴于网络黑客和虚拟战争的专业性日益增强,对于关键基础设施的保护将继续成为关注的重点。这一形势尤其适用于能源供应、医疗保健等高度敏感的行业。在美国国家安全战略中,关键内容之一就是网络空间弹性能力。而德国也正在计划通过一项旨在保护关键基础设施的总括性法案(KRITIS),旨在建立适用于所有部门的最低要求,以加强基础设施系统的恢复补救能力。
针对目标群体的培训
人为因素仍然是网络安全链中的薄弱环节,员工是网络安全链中仅次于技术和流程的第三个主要组成部分。到目前为止,这一环节中的重点始终是对整个工作团队进行总体安全意识培训。未来,针对特定的目标受众及其需求,将推出越来越多的培训措施,主要涉及汽车工程、医疗技术行业等特定部门及其需求。此外,专家和高管也需要定期接受有关网络威胁以及正确应对方面的培训。
实现数字信任的标准化
在人工智能领域建立数字信任是一个关键因素。有鉴于此,建立规范和标准正变得日益重要。在法规方面,欧盟委员会已于2021年4月提出了《人工智能法案》。为了建立能够提供最高安全性的信息技术环境,利益相关者必须立即行动起来,加入到关于人工智能证书和认证标准的讨论之中。ISO(国际标准组织)等标准化组织已经启动了这方面的工作。行业部门也在积极地为可能的人工智能标签制定建议和解决方案。例如,信任宪章(Charter of Trust)是一个由全球企业组成的网络安全联盟,TUV南德便是其中的成员之一。不断提升对于数字技术的信任,将是人工智能开发和应用的一个关键环节。