互联网就像阿拉丁神灯，能使人一夜成名或足不出户就学富五车；能让公司市值短期内增长数倍，但它同样也能让人瞬间千金散尽，以及名誉受损。借助互联网而取得成功的例子不尽相同，但因互联网失败往往都归因于网络安全。本期《悉看大势》将探讨网络安全的现状及发展机遇。

　　近几年，全球网络安全事件屡见不鲜，涉及行业广泛。出现网安事件的企业数不胜数，包括科技业巨擘台积电和脸书，以及新加坡的华侨银行和新电信。

　　去年11月，脸书因泄露超过5亿用户的数据，爱尔兰数据保护委员会（Data Protection Commission，简称DPC）对它的母公司Meta处以2亿6500万欧元（约3亿8700万新元）的罚款。此后，晶片巨头台积电和电动车商蔚来汽车遭黑客勒索，要它们分别以7000万美元（约9554万新元）和225万美元来换取被窃取的资料。

　　新加坡公司也未能幸免，像2021年底，790名华侨银行客户坠入钓鱼短信骗局，被骗走高达1370万元。之后，新电信因子公司澳都斯（Optus）遭黑客攻击，导致近1000万名用户个资外泄。

　　上述案件只是冰山一角，受到网络攻击的公司比比皆是。


　　网络安全公司Cloud flare日前调查了来自14个市场的4000多名企业网安负责人。报告显示，在新加坡，遇到网安事件最多的部门分别是政府部门、旅游、酒店及服务业、商业和专业服务。在所有领域当中，有48%受访者在过去12个月遭遇的网络安全事件超过了10起。

　　网安市场全球规模2027年料逾3388亿美元

　　正因为全球和新加坡企业都面对网安挑战，这个行业也蕴藏着无限商机。

　　今年公布的《网络安全全球市场报告》指出，目前新加坡网络安全行业规模近20亿美元（约27亿新元），而全球市场规模为2237亿美元。预计到了2027年，全球网安市场将达3388亿4000万美元，今年至2027年的复合年增长率为10.9%。管理咨询公司麦肯锡（Mc Kinsey & Company）更预测，潜在网安市场规模到了2030年，有望增长到1万5000亿至2万亿美元，几乎是当前的九倍。

　　国际咨询公司毕马威（KPMG）去年的《全球技术报告》显示，61%的企业预计在两年内采用颠覆性的新技术平台，未来三年会加大对物联网、边缘计算和5G的投资。随着企业对这些新技术的依赖日益增加，网安系统的重要性也变得更为重要。



　　国际咨询公司毕马威网络事务咨询合伙人李斯衍。（毕马威提供）

　　毕马威网络事务咨询合伙人李斯衍接受《联合早报》采访时指出，当前网络安全现状带来的机遇包括托管安全服务的需求增加、人员培训的需求增加、网络安全测试和防护的需求增加等。

　　Cato Networks产品营销总监里布斯（Demetris Booth）里布斯指出，从需求角度来看，刚起步的数码公司更容易受到网络威胁。勒索软件对中小企业是一个巨大威胁，而对大型企业则可能影响有限。

　　麦肯锡调查了500名网安产品买家并采访了50家市场领先供应商后发现，到了2025年，网安产品客户在这类产品和服务上的支出将以每年13%的速度增长。这个市场的增长，尤其是网安服务的快速增长，有显著的中小企业需求，这为供应商提供了巨大商机。



　　Cato Networks产品营销总监里布斯。（Cato Networks提供）

　　就网安市场主要供应商而言，里布斯介绍说，网安行业主要参与者包括Cato Networks、派拓网络（Palo Alto Networks）和思科。这些供应商在所有垂直行业中都有很强的影响力，包括制造业、医疗保健、零售业、酒店业等。



　　本地网络安全公司Hackuity东南亚地区执行总裁刘晓薇。（Hackuity提供）

　　本地网安公司Hackuity东南亚地区执行总裁刘晓薇说，网安已成为世界主要经济市场之一，且不断增长。同时，许多新进入的公司又给这个领域带来了创新，他们共同制定网络安全战略，携手应对不断变化的网络安全风险。

　　网安生态系统中我国发挥重要作用

　　普华永道（PwC）新加坡科技风险管理合伙人孙云虎指出，新加坡在网安生态系统中也发挥着重要作用。这不仅体现在研究和创新能力上，本地在制定网安标准和框架方面也具优势，如金融服务部门的数据安全等领域。



　　普华永道新加坡科技风险管理合伙人孙云虎。（普华永道提供）

　　本地网安人才培养公司Red Alpha总裁陈劲豪说，新加坡是亚太地区网安活动中心，研发基础和全球商业中心的地位吸引了全球知名网安公司。在网安服务和解决方案方面，新加坡拥有各类技术，可提供网络威胁情报、网络事故应对、入侵测试和安全咨询等服务。这些服务既适用当地企业，也适用整个地区。

　　李斯衍说，新加坡作为商业中心，拥有强大人才库。整个国家拥有高度互联网化的商业生态系统。因此，新加坡在提供专业服务、网安创新及政策方面具优势。新加坡政府也一直在关注网安情况，并积极实施法规，以防范网络威胁。



　　本地网络安全人才培养公司Red Alpha总裁陈劲豪

　　人才短缺是网安领域最大挑战

　　然而，Cloudflare的报告也显示，人才和资金短缺是新加坡企业在处理网安问题时面临的最大挑战，有这方面挑战的受访者分别占58%和65%。

　　陈劲豪说，市场对网络安全解决方案和服务的需求一直保持强劲。不过，人工智能和金融科技等领域对IT人才同样有很大需求，致使网安领域的人才持续短缺。

　　国际信息系统安全认证联盟（ISC2）的2022年网络安全人力市场研究显示，本地网络安全人力缺口超过6000多人，全球缺口则超过300万人。

　　Cloudflare亚太地区副总裁兼董事总经理迪克森（Jonathon Dixon）说：“要解决人才短缺问题，企业可以寻求与高等院校合作，培养并吸引下一代网络安全人才，同时通过提高现有员工技能、简化网络安全架构和优化投资企业网络安全平台等方式，更好地让员工应对不断变化的网络风险，这也有助于企业吸引和留住人才。”


　　Cloudflare亚太地区副总裁兼董事总经理迪克森。（Cloudflare提供）

　　李斯衍则建议，企业可考虑使用搜索网络威胁等技术来执行重复的网安任务，从而缓解一部分人力不足的问题。此外，教育部门可与网安业者合作，设计更多课程来提高员工的数码技能。

　　孙云虎说，政府也可以考虑调整雇佣外籍人才的政策，特别是网安专才。此外，还可增加种子基金来提供财政支持，让经验丰富的IT人员转行或专攻网络安全。

　　思科（Cisco）亚细安网络安全业务总监符元发说，人才短缺的现状，给网安行业培养下一代网安专才提供了机会。思科网络学院已与工艺教育学院等超过22个教育机构合作，为学生提供技能培训。学院承诺，到2032年将在亚太区域再培训670万名数码和网安人才。


　　思科亚细安网络安全业务总监符元发。（思科亚提供）

　　Cato Networks产品营销总监里布斯说，人才短缺会迫使公司管理层选择与第三方服务伙伴合作。他预计，企业外包网安服务的趋势将增加，这为第三方安全供应商提供了更多市场机会。

　　公司发展业务不可忽视网安

　　另一方面，全球经济逆风导致不少公司纷纷被迫缩减网安经费，影响了它们对网安事件的准备。

　　Cloudflare调查报告也显示，81%的新加坡受访者在过去12个月里遇过网安事件，高于亚太区域平均的78%。然而，只有27%的新加坡受访者做好了防范，低于亚太地区38%的平均水平。

　　譬如，新加坡网络安全局（CSA）在新加坡网络概况报告中，匿名引述了一家员工过千的本地精密工程公司，去年遭黑客勒索比特币。公司因担心客户知识产权泄露，不得不向黑客支付数十万美元的比特币。

　　另一家律师事务所则在遭遇黑客入侵后，黑客以律师行名义发出诈骗电邮，要求客户提供银行信息。结果，上当的客户损失10多万元，同时造成律师行客户流失。

　　Cloudflare调查报告指出，这些网安问题不仅让39%的企业暂停业务、推迟发展计划和减少远程工作安排，还对46%的企业造成至少200万美元（约270万新元）的财务影响。此外，受访者还损失了重要数据和知识产权，以及遭到声誉受损、客户流失等诸多问题。

　　陈劲豪指出，企业的首席信息安全官必须让管理层相信，网安是公司业务发展不可忽视的重要因素。当网络攻击事件导致公司丢失数据或业务中断，公司将面临客户流失和声誉受损等多重风险。

　　公司丢失数据或被罚一成总收入

　　此外，政府也对不重视网络安全的公司给予相应惩罚。新加坡网络安全局（CSA）去年一份报告显示，自个人资料保护法令（PDPA）2020年修改后，企业在使用客户数据时，必须确保客户个人数据的安全。一旦发生大规模资料泄露或泄露的资料会对个人造成重大伤害，企业须及时向个人资料保护委员会（PDPC）报告并通知客户。

　　孙云虎举例说，在PDPA法令下，丢失数据可能导致公司被罚总收入的10%。他建议，虽然公司无法阻止犯罪分子实施网络攻击，但它们可通过找出对公司业务运营至关重要的数据或高价值的信息，实施有效预防、检测和管理，以降低黑客入侵的概率和影响。

　　企业可寻求支援支持自身网安工作


　　义正律师事务所合伙人王佩晶。（义正律师事务所提供）

　　随着中小企业数码化普及、收集和使用个人数据的增加，PDPC团队携手资讯通信媒体发展局（IMDA）制定了资料保护基本能力计划，帮助中小企业抵御网络攻击并使受影响的企业迅速修复。

　　网安局的报告显示，业者和个人可通过电脑紧急反应组（Sing CERT）向当局通报网络袭击案件，由网络事故应变中心进行网络袭击的探测、化解和防范。在国内，SingCERT提供网络安全警示、建议和事件处理指南。在国外，SingCERT也与其他国家的CERT合作，共享信息。

　　此外，企业也可寻求法律援助。义正律师事务所合伙人王佩晶受访时说，近几年，她受理的数据泄露相关案例越来越多。例如，客户可能会起诉软件更新时无意中丢失数据的供应商。大型企业也会通过法律途径，来减少网安事件对企业造成的损害，让肇事者承担责任，并把对公司声誉的影响降到最低。

　　对于受到网络侵害的企业和个人，王佩晶说，受害人应立即保护受影响的IT基础设施。同时，尽快聘请一个调查小组确定攻击源。

　　如果攻击源来自内部，则应立即限制犯罪者的访问权限，并扣押犯罪设备以进一步进行取证调查。如果是外部犯罪者或犯罪设备是个人财产，则可能需要先获得法院搜查令等必要文件，然后再根据情形来提出相应的刑事或民事诉讼。（联合早报 岳开新）