预测：网络攻击/数据泄露是未来的第一大风险

尽管自2021年以来前十大风险基本保持不变，但风险管理所处的宏观经济环境已明显不同。由疫情在许多领域引发的风险演变仍在持续加速，风险之间的关联性也在增强。

主要风险

如2021年调查所预测的那样，网络攻击/数据泄露仍然是全球范围内风险管理者和企业高管当前和未来面临的最大风险。网络攻击/数据泄露也仍然是每个地区受访者未来面临的十大风险之一。自2015年首次跃身为前十大风险以来，网络风险的重要性日益上升，并在2021年和2023年连续两次成为全球首要风险。

企业数字化项目、远程办公的增加以及自动化和服务中心的广泛使用使得网络安全成为企业成功的关键因素。一旦攻击者改变策略，风险转移举措和协议就会很快失效。尽管勒索软件攻击在2022年有所下降，但2023年第三季度的数据仍比2019年第一季度增加了1,010%以上。定期报告的数据泄露事件显示，恶意活动的整体上升趋势是显而易见的，这意味着企业要继续保持警惕并采取积极的保护措施。

调查受访者反馈，他们对抵御网络攻击/数据泄露的准备水平达到历史最高的89%，但因网络攻击/数据泄露造成的收入损失与2021年持平，为18%。值得注意的是，这是全球前十大风险中报告的最低收入损失。尽管事件频率和严重程度急剧上升，但赎金支付仍然持平，平均网络成熟度从2021年的“初级”提升到2023年的“受控”水平，整体有所提高。这些数据都表明，企业正在优先考虑这一风险，并为应对其对业务的潜在影响制定了计划。

只有30%的受访者表示他们已量化网络风险，56%的受访者表示他们已为网络攻击/数据泄露制定了风险管理计划，这一数字低于2021年的68%。量化网络风险的比例较低暗示着风险改进战术与风险治理之间的脱节，偏离了企业管理网络风险的最佳实践。考虑到对报告重大网络事故的监管要求变化和风险治理，这是企业应该确保解决的问题。简而言之，网络风险的复杂性和演变速度仍然为企业带来了挑战。

营业中断风险继续排名第二，许多前十大风险有着固有联系。拉丁美洲的受访者和自然资源领域的受访者都将其视为当前的首要风险。由于全球商业运作采用新技术，营业中断现在变得更加具有系统性。此外，企业的重点正在从基于事件的风险评估转移为基于影响的风险评估。尽管此前营业中断的影响被视为是线性的，但是新冠疫情表明，随着营业中断在复苏期间重复发生，它可以同时影响多个行业、地区、贸易路径和公司。同时，营业中断事件的数量也在增加。对业务中断影响的评估不仅从基于事件转变为基于影响的评估，还重新定义为包括环境、社会和治理（ESG）相关类别，以及日益增多的非损害性损失和财产损失。

2021年排名第八的供应链断裂/分销失败在最新的调查中上升到第六位，这是该风险14年来的最高排名。它与网络攻击/数据泄露（排名第一）、营业中断（排名第二）和商品价格/材料稀缺风险（排名第七）密切相关。亚洲和东欧的地缘政治动荡对生产和分销造成了新的干扰，并加剧了新冠疫情期间开始出现的供应链问题，如劳动力短缺。跨国公司的采购总监指出，运输和物流人员的不足是主要的供应链风险敞口，对他们按照预期的速度运输产品造成了阻碍。

本次调查的数据显示，不到40%的企业进行了供应商韧性评估，不到20%的企业对供应商库采取了多样化管理以减轻供应链断裂或分销失败的风险。此外，只有18%的受访者表示他们量化了供应链断裂或分销失败风险。因此，风险转移措施不足似乎与供应链断裂/分销失败风险敞口的增加密切相关。

今年调查结果的一个关键发现是人力资本问题对全球前十大风险的影响日益增强。人才、劳动力或关键专业技能的短缺可能阻碍创新和竞争力，并增加网络攻击、监管违规、供应链问题、营业中断和声誉损害的风险。

在人工智能和云计算等科技进步的推动下，以技术为主导的新商业模式正在迅速发展。广泛的数字化也突出了在当前和未来的劳动力中培养相关技能，以及招聘有能力领导和实施企业变革的人才的必要性。同样，企业还需要人才来调查和管理这些全球互联的新商业工具和方式对道德、社会和网络安全的影响。社会趋势和疫情的持久影响大大减少了可用的专业人才。为了解决劳动力缺口，吸引和保留具有必要技能和经验的员工，各企业都在审查其员工价值主张，并采取其他措施来降低人力资本风险。

企业报告的风险准备情况是整体风险管理活动、成熟度和动态性的晴雨表。最新调研的受访者反馈全球前十大风险的平均风险准备水平为60%，为10年以来的最高值。当然，从2021年调研结果的趋势来看，越来越多的企业正在制定计划以应对其前十大风险。

从2021年到2023年，前十大全球风险的风险准备水平均有所提高，只有监管/立法变化风险的准备水平下降了1个百分点，这可能反映出企业难以跟上监管变化的步伐。

尽管报告了准备水平的提高，但仍有39%的受访者报告了在过去12个月中与前十大风险相关的收入损失。这是10年来报告损失的最高比例，比2021年高出9个百分点。

当前位列前十大风险的许多风险可以被归类为事故中断风险——阻碍企业运作的重大事故。正如前面提到的原因，这类事件的发生频率和数量正在增多。同时，企业在应对一系列相互关联的风险时，还面临人才短缺，这进一步增加了风险敞口并使规划变得更加复杂。应加强风险管理框架，帮助企业及其资产负债表抵御日益增加的风险以及经济不确定性的剧烈波动。

宏观经济变化以及日益复杂和相互关联的风险敞口导致2021年排名前十的风险持续存在。然而，对这些风险及其复杂关联的不充分量化在一定程度上导致某些风险持续存在于2023年的前十大风险中。

尽管有较高比例的受访者报告称，已针对前十大风险采取了转移措施，但在审视报告准备就绪的各个方面时，其与报告的收入损失增加之间的关联开始变得清晰。

实际上，从2021年到2023年，风险量化大幅下降了11个百分点，从28%降至仅17%。当企业无法充分衡量潜在风险敞口时，转移或复原的努力同样不足。明智的决策是强大的风险管理复原力的基石，需要进行全生命周期的评估、量化、转移和管理。

在风险量化得到改善之前，相关风险敞口将继续成为企业关注的焦点，并可能会抑制增长。尽管风险量化通常十分复杂并需要大量数据，且许多商业领袖并不认为企业具备这些数据，但企业数据和风险建模的结合将确保企业能够获得更完善的信息储备，并帮助企业做出更好的风险管理决策。

未来风险

受访者预测未来的前十大风险将大致与当前的主要风险保持一致。网络攻击/数据泄露仍然是未来的第一大风险，反映出技术作为经济增长的关键推动力，同时也使网络威胁的风险格局变得更加复杂。

调研受访者认为，人力资本对风险格局的影响可能会加剧。未来未能吸引或保留顶尖人才的风险仍将排在第四位，而劳动力短缺将于2026年进入预测的前十大风险中，并排名第八。七个行业将劳动力短缺列入其未来十大风险清单，而医疗保健行业将其列为第二大未来风险。随着风险韧性和员工韧性之间的关联更加紧密，这突显了风险和人力资源管理者在认可人力资本在企业增长中的根本作用这一点上需要达成一致的重要性。

人工智能（AI）的排名从2023年的第49位跃升至未来风险的第17位，名次提升了惊人的32位。人力资源受访者将Al列入未来十大风险清单的第八位，而来自印度和英国的受访者分别将其排在未来风险的第七位和第三位。这表明，尽管企业认识到Al的经济潜力，并正在采用新技术来促进增长，但他们也意识到Al带来的潜在网络安全、法律、运营和人力资本风险。

AI的潜在风险影响远不止网络安全敞口。AI可能导致法律问题，并放大人力资本风险。AI风险增长的速度如此迅速，以至于甚至可能会在我们下次调研之前就产生重大影响。然而，正如任何新兴的颠覆性技术的快速采用一样，Al也将改变所有行业的企业风险格局，为许多公司引入新风险，并改变许多现有风险的严重性和速度。在全球董事会会议中，对AI的使用缺乏保护措施是一个突出的讨论话题。例如，在面临严重的劳动力短缺的医疗行业中使用Al，潜在的高风险和危险性是显而易见的。了解AI在其数字价值链中的责任和保险影响的风险管理者可以为其企业的AI策略增值。

原文始发于微信公众号（计算机与网络安全）：预测：网络攻击/数据泄露是未来的第一大风险