“對于技術方案的認知匱乏以及相關風險處理能力低下——特別是網絡風險或者關鍵性信息基礎設施破壞所帶來的系統性級聯效應——可能會給國家經濟、各經濟組織乃至全球企業帶來深遠的影響。”——世界經濟論壇《2016年全球風險報告》

世界經濟論壇(簡稱WEF)于2016年1月14日，也就是剛剛開幕的著名達沃斯會議的前一周，發布了《2016年全球風險報告》。以下內容援引自該報告當中與網絡風險與網絡恢復能力相關的主要研究成果。

網絡風險仍是一項高關注度任務

這份報告提供了一系列證據，表明網絡風險仍是目前全球范圍內企業領導者們最為關注的任務之一。這些證據不僅證明網絡相關風險所涉及國家數量之巨，同時也可以通過報告中的具體措辭了解到網絡風險的現實狀況：“互聯網已經開啟一片新的戰爭領域：與網絡對接乃至相關的一切皆能夠被突破。”

這份報告的重要結論之一在于，對美國市場而言，網絡攻擊風險已經被列為頭等威脅。在附帶的新聞稿當中，世界經濟論壇表示目前已經有至少七個國家將網絡攻擊視為企業領導者最為關注的頂級威脅，其中包括日本、德國、瑞士與新加坡。

網絡攻擊同時也被另外27個世界經濟體列為關注風險類型清單中的前五名。不過從全球風險的角度來看，網絡攻擊并沒能入選前五——低于2012年的第四位與2014年的第五位。

這份報告同時指出，對于網絡的愈發高企的依賴性本身也成為一項潛在的未來風險：“相關事故在發生頻率與規模方面一直不斷增長。截至目前，網絡攻擊活動仍然主要涉及單一業務實體或者國家，但隨著物聯網所帶來的人與機器之間更為緊密的聯系，網絡依賴關系——受訪者們普遍認為其已經成為第三大全球性趨勢——將進一步增強，而網絡攻擊機率提升亦與整個網絡生態系統存在著潛在連鎖效應。這意味著單一實體所面臨之風險越來越多地同其它實體關聯起來。”

IT之重要性愈發突出

這份報告同時提醒稱，盡管各企業已經意識到IT所能夠帶來的可觀價值，但它們“可能還沒有充分應對網絡安全風險，同時利用適當的投資水平提升自身運營風險管理能力并加強組織應變水平。”其進一步警告稱，“未來的每一項沖突都將包含有網絡元素，而且其中一部分甚至有可能給網絡領域帶來全面打擊。”

這些可怕的前景無疑將給網絡安全管理者帶來巨大壓力。“考慮到在網絡層面攻擊活動的實現難度要遠低于防御工作，因此這將顯著改變整個安全體系應對潛在違規行為的方式。物理距離已經無法提供足夠的保護，大量技術存在兩面性，很多重要的基礎設施為私有資產，而難于追蹤的特性也讓我們很難掌握攻擊活動的來源。”

最后，報告批評了各企業當中圍繞網絡風險建立的現有歸屬與協作狀態。“盡管CEO們對于網絡風險的提升表示擔憂，但網絡風險責任的實際歸屬仍然比較模糊，”這份報告指出。“企業中的哪些成員應當作為風險的擁有者?盡管目前已經存在大量C級風險管轄者(包括CISO、CFO、CEO、CRO、風險管理)，而每位管轄者的定位亦有所不同，但他們往往并不了解風險本身或者未能在管理層面進行有效合作。因此，針對網絡風險做出明確的角色與職責劃分將非常重要。”

世界經濟論壇要求各企業積極參與

早在2012年，世界經濟論壇就已經發起了一項倡議，旨在推動企業領導者認真審視并參與到網絡恢復工作當中。在其發布的《攜手實現網絡彈性》文件當中，世界經濟論壇將網絡彈性定義為“系統及企業抵御網絡事件的能力，具體水平由平均故障時間與平均恢復時間綜合計算得出。”

這份文件還包含了與網絡彈性相關的五級成熟度模型。各企業會根據其應對網絡風險的實際方式被歸劃為以下類別之一：

無意識

碎片化

自上而下

普及

網絡化

世界經濟論壇要求各位企業高管采取四項關鍵性舉措以應對網絡風險，而其具體內容被發布在其題為《超連接時代下的風險與責任：通往全球網絡彈性之路》的文章當中。這四項原則性舉措包括：

1.依賴性意識：有關各方都應在推進彈性共享式數字化空間方面發揮自己的作用。

2.領導角色：鼓勵企業高管人員關注并統領網絡風險管理事務。

3.綜合性風險管理：開發出一套切實有效的實施方案。

4.促進推廣：在適當情況下，鼓勵供應商與客戶擁有相近的網絡風險意識與保障水平。

總體來講，《2016年全球風險報告》向企業領導者們提出了一項明確的警告，要求他們積極對網絡風險管理與治理做出努力，并盡快著手解決企業網絡彈性需求——這將密切關注到企業自身的資產安全與商業聲譽。