一、理解全球網路不平等
2022年，網路安全經濟成長速度是世界經濟的兩倍，到2023年，成長速度達到世界經濟的四倍。儘管在全球，對網路韌性的投資總體上呈上升趨勢，但快速的創新和成長常常導致發展不均衡。這種不均衡為一些國家和經濟體帶來重大的經濟和社會利益；通常，最大和最發達的經濟體會從新技術中獲益，相較於不發達的國家、行業和社區則持續落後。在這種情況下，雖然快速的技術成長在許多方面（如獲取途徑、創新和甚至合作）為許多人帶來益處，但它也在全球網路安全經濟中造成系統性的不平等，並揭示其市場組成的網路韌性能力，明顯差異。這種現象有時被稱為「網路安全貧困線（Cybersecurity Poverty Line, CPL）」，是指為組織的人員、技術和系統確保強大的網路安全的禁止性成本，但這種分裂遠遠超出禁止性成本。考慮到網路技能差距，這是即使是全球最大組織也面臨的一個公認問題，而其他因素，如知識淵博的領導者、理解不斷變化的最佳實踐的能力以及獲得高度創新技術的能力，也極大地影響組織保持領先地位的能力。正如大西洋理事會所言：「網路貧困呈現出與現實世界貧困非常相似的動態：僅僅提供金錢或免費專業知識並不一定能解決技術設計不佳、市場激勵不當、安全觀念的社會文化態度錯位或其他障礙。」這種差異可能非常明顯，但它已經發展多年，而且隨著時間的推移，網路韌性不平等趨勢一直在穩步增加。

二、地緣政治與技術轉型中的世界
世界正處於地緣政治和技術轉型的時代。生成式AI和其他新技術的迅速傳播，這些技術可以輕易被網路攻擊者利用，對商業和公共生活構成嚴重威脅。在2024年的全球網路安全展望調查中，70%的領導者表示，地緣政治至少在中等程度上影響他們組織的網路安全性原則。這種地緣政治的影響與去年一樣，始終是領導者關注的重點，2023年的報告中有74%的受訪者表示相同觀點。今年，32%的37位CISO在單獨調查中表示，他們透過增加威脅情報報告的使用，並進一步發展其事件回應計畫來調整他們的網路安全性原則。越來越令人擔憂的是，針對關鍵基礎設施和全球供應鏈中的元素攻擊，加上經濟不穩定，有可能造成宏觀影響。
地緣政治還直接影響組織或國家的風險格局如何迅速變化。約72%的領導者報告說，他們理解這一迅速變化的格局，並且正在積極將當前事件整合到他們的網路風險管理。
就像網路安全性漏洞削弱我們對支撐經濟和社會的系統的信任一樣，其他技術風險，如假資訊，也可能做到這一點。通常相同的防禦者被要求幫助對抗這兩者。舉例說明，公共部門和私營部門的組織都在重新評估特定機構和過程（如選舉）的脆弱性，面對激烈的地緣政治衝突和增強的技術能力。
地緣政治動盪與AI深度偽造和精密的網路釣魚活動的交叉點，有潛力被武器化以破壞民主選舉程式。雖然資訊戰不是一個新概念，但資訊源的去中心化和技術的快速進步使得防禦這些類型的惡意威脅成為未來一年及以後的一個關鍵關注點。
展望2024年，這些風險將疊加，成為中心舞臺。在接下來的一年中，超過45個國家將舉行選舉，以決定誰將治理超過50%的世界GDP。隨著新技術如生成式AI的使用變得更加普及，保護選舉過程的完整性和公平性變得非常重要。

三、網路技能短缺的困境
在當前的網路安全環境和經濟不確定性背景下，高管們認識到，吸引和保留網路安全人才對組織的成功非常重要。儘管對於技能人才的需求不斷成長，可用的專業人才卻相對較小，而新興人才的來源也相當有限。隨著時間的推移，組織在實現網路韌性目標方面由於缺乏足夠的人才和正確的技能而面臨日益成長的挑戰。例如，2023年的資料顯示，受訪領導者中有12%報告他們缺少處理網路事件所需的技能和人員。
技能短缺迅速成為阻礙組織實現其戰略性網路韌性目標的一個主要障礙，其中36%的受訪者表示技能差距是實現網路韌性目標的主要挑戰。尤其是在最小收入組織中，約31%的領導者報告他們缺少關鍵人員和技能，而在最大的組織中，這一比例降至11%。這一挑戰與預算限制有直接關係，許多組織表示沒有足夠的預算來招聘合適的網路安全人才。
為了解決這一困境，組織越來越多地透過內部培訓和提升現有員工的技能來填補人才空缺。儘管許多雇主仍然傾向於招聘經驗豐富的網路安全專業人員，但有41%的組織選擇透過提升現有員工的能力來填補這些角色。研究還表明，如果雇主提供資金支援，超過70%的員工願意追求更高學位或證書以進入網路安全領域。這一趨勢顯示非傳統招聘途徑在確保組織擁有所需技能方面的潛力，儘管目前選擇這一途徑的領導者仍然較少。

四、為新時代的網路韌性
在全球網路安全展望2024的調查中，關於網路韌性的討論強調新興技術對安全挑戰的加劇作用，以及這些挑戰如何加速組織間能力的分化。尤其是中小企業，在面對這些挑戰時，比大型組織更加缺乏網路韌性，需要緊急採取行動以解決日益成長的網路不平等問題。儘管許多組織在某些方面的網路能力有了明顯進步，但是對於如何應對新技術，例如生成式AI，並理解這些技術對他們的網路韌性立場的即時、中期和長期影響，組織仍需要基本的認識。調查顯示，不到十分之一的受訪者認為在未來兩年內，生成式AI將給防禦者帶來優勢。
此外，大型組織由於技術和流程的遺留問題，面臨著將遺留問題與新風險結合起來的挑戰，這對於實現網路韌性構成最高的障礙。與此同時，組織之間的信任與首席執行官的參與程度緊密相關，93%的認為自己的組織在網路韌性方面是領導者和創新者的受訪者信任他們的CEO能夠對外講述他們的網路風險。相比之下，那些不具備網路韌性的組織中只有23%的人信任他們的CEO具備這種能力。
調查顯示，有29%的組織報告說，在過去的12個月中，他們受到網路事件的實質性影響。此外，公共組織中有52%的人表示，資源和技能的缺乏是他們在設計網路韌性時面臨的最大挑戰。

五、構建更好的網路生態系統
全球網路安全展望2024強調了組織間、供應商、保險公司和監管機構之間的合作對於建立更安全的網路環境非常重要。系統性網路韌性的關鍵指標包括行業合作的數量和品質、法規的有效性和清晰度、網路保險市場的成熟度和可獲取性，以及組織理解來自自身供應鏈和協力廠商關係的網路風險的程度。
調查顯示，只有23%的領導者對未來兩年內行業和生態系統合作顯著改善持樂觀態度。網路領導者對合作改善的樂觀程度（29%）略高於商業領導者（17%），這可能是因為網路領導者對這些合作有更直接的接觸，能夠看到它們在運營成熟度上的成長。
有效的監管被視為提升所有人的重要手段。私營機構的領導者中有60%認為網路和隱私法規有效降低了其生態系統中的風險，較2022年的39%有所上升。他們與公共領導者的看法一致，後者中有65%的人同意這一觀點。
此外，合作和信任的建立被認為是企業寬泛推廣網路韌性的關鍵。公共和私營部門之間的合作，特別是幫助那些自身無法達到同等韌性水準的組織，以及努力使產品從一開始就更加安全，被視為彌合不同組織間差異並提高生態系統整體能力的重要因素。
其中一個例子是澳大利亞聯邦政府在2023年11月宣佈的一項價值1800萬澳元的交易，旨在提升該國中小企業應對和回應網路事件的能力。SMEs占澳大利亞企業的97%，該計畫將協助它們在多種基本網路韌性實踐上，包括教育材料、如何提升網路成熟度評估以及如何更好地回應網路事件的指導。

六、結論
維持高品質或至少足夠的網路韌性能力，正迅速成為一場零和遊戲。培養最佳實踐、爭奪足夠的人才，以及在某些情況下，僅僅是負擔得起正確的工具和服務的能力，越來越多地決定了哪些組織能夠獲勝，哪些則會失敗。因此，最缺乏這些能力的組織最難以實現目標。安全的供應鏈需要所有組織至少達到最低的生存能力，以實現真正安全的生態系統，但如今存在的不平等使其變得脆弱。 然而，事情並非一定要這樣，未來有許多理由讓我們對此保持樂觀。審慎的網路韌性實踐——網路專業人員和有遠見的商業高管所學到的基礎知識——正在緩慢但穩定地發揮作用。儘管如此，仍需改變當前的發展軌跡。 否則，正如2023年所見，領先組織對新技術的早期採用，以及落後曲線下端的組織在信任和安全的基礎能力上努力跟上步伐，以及數位生態系統內部分化的激勵措施，將在未來幾年加速數位差距的擴大。 此外，數字經濟的互聯互通性使得負面影響的累積不可避免，影響每個人。因此，每個人都需要共同努力，鼓勵可持續的未來能力——包括確定正確的優先事項和組織文化，同時為人才、技術和安全工具提供公平的獲取途徑。提高系統韌性——所有組織減少分化並提升連線性的韌性——不僅是最緊迫的要求，也是最大的責任。