网络安全未来 2030 ： 新基础

2023 年 12 月白皮书 Getty Images 图片 ： Contents 前言 3执行摘要 4导言 6 1 研讨会的发现和见解 7 2 接下来是什么 ？ 如何使用此报告 111.1总体观察71.22030 年新的数字安全格局81.3区域差异10 2.1112.312贡献者 14尾注 152.2 什么弱点重要 12有什么优势重要什么目标很重要 免责声明 本文件由世界经济论坛发布，作为对某个项目、视角领域或互动的贡献。文中所述的研究发现、解释和结论是世界经济论坛协作过程的结果，并得到了该组织的支持和认可，但其结果未必反映世界经济论坛的观点，也不一定代表该组织全体成员、合作伙伴或其他利益相关方的意见。 © 2023 年世界经济论坛。保留所有权利。 前言 Akshay Joshi世界经济论坛网络安全中心工业和伙伴关系主管 Ann Cleaveland加州大学伯克利分校 CLTC执行董事 黎明托马斯CNA 公共研究所联席主任 全球网络安全格局正不断且迅速地变化。到2030年，它将再次经历彻底的变革。为了更好地理解技术、政治、经济和环境变化如何影响政府和组织未来的网络安全态势，加州大学伯克利分校长期网络安全中心（CLTC）、世界经济论坛网络安全中心以及CNA公共研究学院合作开展了《2030年网络安全未来》这一前瞻性研究项目，旨在为全球范围内的网络安全战略规划提供信息支持。 通过在六个国际地点举办的多轮深入研讨会，我们探讨了各种可能的数字未来情景，考虑了网络安全在未来五年至七年内的预期变化。报告包含了适用于各国和地区的大致见解。研究发现旨在帮助政府、行业、学术界和民间社会的决策者抓住即将来临的机会并减轻潜在风险。 我们对所有为此项倡议做出贡献的人表示感谢，认识到只有通过合作努力，才能安全地利用技术进步所蕴含的潜力。愿本报告中的见解能激发有意义的对话，激励行动，并引导我们共同走向更加安全和包容的数字未来。 我们的参与体现了对数字安全作为战略优先事项的共同承诺，并且有助于理解不同地区如何体验和应对系统的网络安全挑战。 执行摘要 数字创新正在加速。决策者需要具备长期的战略远见以抓住机遇并减轻风险。 这份报告呈现了《网络安全未来2030》全球研究项目的研究成果，该项目专注于探索在未来五到七年里数字安全可能如何演变。该项目的目标是帮助制定一个面向未来的、广泛适用于各国和各行业的研究和政策议程。 在吸引人才、多边标准制定过程中把握领导机遇以及应对虚假信息campaign方面获得优势。 – 公共-private合作伙伴关系将在应对主权和犯罪网络攻击及信息操作方面发挥关键作用，但需要新的激励机制来实现此类合作关系。 研究结果基于2023年在阿联酋迪拜、美国华盛顿特区、卢旺达基加利、印度新德里和新加坡举行的一系列面对面研讨会，以及与来自多个欧洲国家和英国的参与者举行的虚拟研讨会。研讨会围绕讨论了四种情景，这些情景描绘了2030年前后多样化的“网络安全未来”，是虚构（但具有可预见性）的2030年左右世界的描绘。加州大学伯克利分校长期网络安全中心（CLTC）独立设计了这些情景，旨在探索决策者在未来几年内将不得不应对的目标和价值之间的权衡。 - 对于新兴和发展中国家而言，存在一个机会窗口来实施“设计即安全”的原则，而前期的数字化浪潮在很大程度上未能将这一原则融入其中。决策者应监测数字化进程的速度以及人口群体安全且可靠地整合新技术的能力。 – 在网络安全人才和培训方面的转型性投资将是一项优先目标。各国的能力在于将其塑造为可信赖的全球品牌、吸引全球人才、保留本土人才，并为充分利用这些人才提供一个有利的工作环境，这一点至关重要。促进数字安全的教育和意识提升将极为关键。 主要发现 – 技术和商业模式创新的加速（包括合法和非法领域）将支撑2030年的新型数字安全格局。社会必须从根本上重新调整应对持久性数字安全挑战的策略，包括数据隐私、人才发展和可持续性。 – 来自不同地区的决策者们正努力平衡技术价值链的相互依赖性和自主性。尽管国家数据监管措施层出不穷，仍需建立可信赖的标准来激励网络安全和人工智能安全方面的互操作性。在某些地区，存在着全球领导真空的问题，缺乏可信赖且专业的监管机构，并且在执行安全与隐私法律法规及标准方面的能力不足。 – 在未来十年中，增强信任将成为网络安全努力的关键目标。虚假信息和误导信息的在线传播已成为核心的网络安全关切。网络安全的重点将从保护信息的保密性和可用性转向保护其完整性和来源。 在未来三到五年内，重点将放在适应快速变化世界的实际操作上。这一动态将在不同地区有所差异，受到其与中国和/或美国的关系影响，并且无论未来五年中美关系的强弱如何，这一格局都将保持稳定。 – 稳定的政府若能落实长期的技术和网络安全战略，可以成为可信赖的“品牌”。 决策者的收益 - 公共和私营部门应投资于教育（例如媒体素养和网络安全卫生），以减少攻击面，并对数字劳动力进行在职培训以提升技能。 – 组织需要确保其拥有稳定且安全的资源供应链，包括技术组件、原材料以及技能娴熟且成本合理的工人。 – 领导者需要有策略和战术地利用监管措施来防范人工智能产品日益突出带来的负面影响，并且必须采取切实有效的措施应对数据管理问题，以防止进一步损害信任和团结。 – 有效的数字政策和法规应明确展示公司、政府和其他组织的稳定优先级。 – 应该成立并强化可信的研究机构，特别是在欠发达经济体中，以支持政府应对2030年的最严峻的社会和技术网络安全挑战。 – 在迈向2030年的过程中，韧性、幽默感以及对未来机遇的乐观态度——尤其是那些愿意且能够抓住这些机遇的人——至关重要。 该项目下一阶段将包括与决策者合作，生成更多的优先事项，并更广泛地思考本报告的研究发现如何重塑组织的未来。应对这些问题将是2024年国际上C级高管、董事会和政府机构的核心重点。 拥有数字化素养的公众和媒体精明的客户基础，对虚假信息、误导信息和恶意信息（MDM）具有免疫力，这将是组织在信任下降时代取得成功的一个优势。 – 领导者应当积极寻找方法，确保新兴技术能够惠及普通民众，例如通过稳定国家经济、解决生活成本高昂问题、提供食物安全并推动可再生能源的发展。 Introduction 网络安全未来 2030 是一个先兆 -专注的研究倡议 ， 旨在告知全球网络安全战略规划。 这更广泛的网络安全视角最好理解为在技术触及社会的任何地方防御危害并促进机遇。 在过去五年中，一系列广泛的问题已经改变了网络安全议程——从全球疫情背景下的数字化转型，到大型语言模型的商品化，再到网络时代的最大军事冲突，以及国际范围内的勒索软件泛滥。正如英国安全服务总监肯·麦卡洛姆最近所言：“如果你今天正处于技术前沿，你可能对地缘政治不感兴趣，但地缘政治绝对对你感兴趣。”1未来五年将带来另一系列前所未有的网络安全挑战与机遇。拥有战略远见者将更好地处于有利位置，以推动数字化世界朝着更加安全的方向发展。 十年中，在阿联酋迪拜、美国华盛顿特区、卢旺达基加利、印度新德里和新加坡等地举办了研讨会。此外，还组织了多个欧洲国家和英国的参与者参加虚拟研讨会。每个地点的研讨会都汇集了来自政府、企业、民间社会、学术界和其他领域的参与者。类似的工作坊流程被用于收集可以进行比较的反应和见解。这些比较是研讨会最重要的即时成果。 当然，这些比较带有局限性，最重要的一点是使用汇总地理类别作为替代。一个位于新德里的工坊（尽管有来自学术界、产业界、政府和民间社会专家的广泛代表）无法代表世界上人口最多的国家公民的全面视角。同样，基加利的一个工坊也不能代表整个非洲大陆。地理标签最好被视为不完美的代理指标，它们能够揭示许多地区之间的共同点与差异，这些地区将影响全球数字安全格局的未来，但由于没有能力在全球各地召集工坊，因此存在局限性。另一个局限是近期偏见；工坊参与者是人，人们在阅读未来情景时会根据他们当时认为最重要的和最紧迫的事情来解读。在这种背景下，工坊参与者提到人工智能（AI）的次数比其他新兴技术多十倍，这可能并不令人意外。最后，即使这些情景尽可能地扩展了想象的边界，它们仍然存在盲点。工坊过程的设计旨在尽量减少这些偏见，但完全消除它们是不可能的。 为了展望未来，加州大学伯克利分校长期网络安全中心（CLTC）得到了世界经济论坛网络安全中心（C4C）和CNA公共研究学院的支持，启动了《2030年网络安全前景》这一全球性倡议，探索在未来五年至七年时间内数字安全可能如何演变。其目标是帮助塑造一个广泛适用于各国各行业的面向未来的研究和政策议程。这种更广泛的网络安全视角可以最好地理解为在任何技术触及社会的地方防御危害并促进机会。 在2023年1月至4月期间，CLTC独立开发了一套四种情景，这些情景描绘了从当前到大约2030年的“网络安全未来”。这些情景旨在探讨决策者在未来短期内需要应对的一些目标和价值权衡。它们重点关注相关且合理的因素，同时也挑战了一些隐含的信念以及当今的常识。这些情景并非预测未来，而是专门设计来引发具有重要意义的不同全球视角。 工作坊有助于展示态度和视角在全球不同地区如何发展和分化。以下报告的见解很可能重新定义决策环境，并帮助政府、行业和民间社会的决策者减少摩擦、抓住合作机会并更好地为未来做好准备。 在2023年5月至9月期间，该倡议将这些情景带到了五个国际地点，这些地点将对未来的数字安全景观产生不同的影响和视角。 1研讨会的结果和见解 一系列国际研讨会揭示了政府和组织在快速演变的网络安全landscape中面临的关键挑战、不确定性及机遇。 这份报告详细阐述了三项总体观察结果和三项拟议的新景观要素，这些成果源自工作坊的讨论。 在战略规划和未来决策中 ， 每一个都值得重点关注。 1.1 总体观测 网络安全的重点将从保护信息的机密性和可用性更多地转向保护其完整性和来源。 以及信息的可用性 ， 以及更多关于保护其完整性和来源的信息。 数字安全正在被重新定义为1 社会与速度相匹配的能力 与创新的速度相匹配的信任。每个工作坊中，参与者表达了对技术与犯罪创新速度超越人类确保数字产品和信息可信度能力的担忧，这对其国家和国际机构的合法性产生了深远影响。在未来十年中，增强信任成为网络安全努力的关键目标。从战略层面来看，稳定且遵循长期技术和网络安全策略的政府可以成为值得信赖的“品牌”，从而在吸引人才、在多边标准制定过程中掌握领导机会以及对抗虚假信息运动方面获得优势。这种观点在新加坡、印度和阿联酋尤为明显。从更具体的操作层面来看，参与者还讨论了监管机构在密切监控跨国公司时的有效问责机制的作用。这种观点在非洲和欧盟尤为突出。在美国，关于谁应负责维护信任（政府还是私营部门）的紧张情绪更为明显。尽管一致认为公私合作伙伴关系对于打击主权和犯罪网络攻击及信息操作至关重要，但鉴于当前的利益结构，这种合作关系的实际可行性也引发了广泛的失望。参与者几乎一致认为，错误信息、虚假信息和恶意信息（MDM）的在线传播已成为核心的网络安全问题。网络安全将不再仅仅关乎保护信息的机密性。 数字化的速度和规模将2 驱动全球安全格局的变化（或甚至超过）新兴Workshop参与者所具备的具体能力。专注于人工智能和自动化技术的比例远超其他技 术（相差10倍），尽管量子计算、物联网（IoT）以及太空领域的进步也成为了优先考虑的重点。在不确定性与脆弱性的背景下，参与者警告未来量子技术可能引发的裂痕，并将开发和部署量子安全密码学列为优先事项。通过技术和规范的准备可以对政府、企业和社会产生深远的积极影响。鉴于太空系统中高级技术的高度集成，太空领域被视为新兴技术可能在未来引发裂痕的另一个环境，也是各国创新和发展的广阔领域。然而，对数字安全格局构成最大威胁的仍是人类因素而非技术问题。快速数字化转型的安全后果在拥有大量人口的发展中国家尤为重要。未来十年的网络安全挑战和机遇将与国家数字化进程的速度和规模成正比。正如印度参与者所指出的，更