荷兰企业在应对不断加剧的威胁下，网络韧性落后

根据学术研究显示，荷兰正面临日益严重的网络安全危机，惊人地有 66% 的荷兰企业缺乏足够的网络韧性。

随着地缘政治紧张局势加剧和数字威胁不断升级，在 Avans 应用科学大学担任网络韧性组织心理学教授并在 TNO 从事研究的心理学家 Rick van der Kleij 表示，传统的方法已然失败，迫切需要进行范式转变。

van der Kleij 指出，对于许多荷兰组织来说，网络安全给人一种安全的错觉，而非提供真正的保护。他直言不讳地认为，荷兰传统的网络风险应对方式从根本上已经失效。

“我们需要停止用网络安全的思维方式来看待问题。这种模式已经明显失败，”他说，“尽管多年来我们在网络安全措施方面投入巨大，但荷兰企业中事件的发生频率和影响仍在迅速上升。”

这一论点正是他最近的就职讲座《 Now that security is no more 》的核心内容，该讲座呼吁荷兰组织在应对网络风险时实现范式转变。

数字困境

van der Kleij 形容，在一个拥有欧洲最先进数字基础设施之一的国家中，如何在开放性与安全性之间取得平衡，这构成了“伟大的数字困境”。他提出疑问：“企业家如何才能保持开放与互联，而又不必完全锁定他们的业务呢？”

数据令人触目惊心。van der Kleij 的研究发现，66% 的荷兰企业对网络威胁的准备不足。最近 ABN Amro 的研究也确认了这一危机：去年每五家企业中就有一家遭遇网络犯罪损失，大型公司中这一比例更接近 30%。首次显示，中小企业（80%）比大型企业（75%）更频繁成为攻击目标，标志着网络犯罪策略的显著转变。

尽管数据如此，但感知上的差距仍然存在。van der Kleij 指出所谓 “过于自信” 的现象——即荷兰企业认为自己的网络安全足够，实际情况却并非如此。中小企业的攻击率居高不下，但是其风险意识却停滞不前，而大型组织的风险认知则显著提升（从 41% 增加到 64%）。这造成了一种“水床效应”——当大型企业加强了防御后，网络罪犯便转而攻击那些准备不足且恰好减少网络安全投资的中小企业。

从网络安全到网络韧性

van der Kleij 强调了一个关键区别：网络安全侧重于预防事件，而网络韧性则承认事件的不可避免。“关键在于拥有恰当反应的能力，从事故中恢复，并从失败中吸取教训，从而变得更强大，”他说。

这需要具备四种能力——准备、响应、恢复和适应，但大多数荷兰企业仅仅注重事前准备。ABN Amro 的研究同样证实了这一问题：许多中小企业仅具备防火墙，但却缺乏入侵检测或事故响应计划。相比之下，大型企业则采取了更为平衡的方法，将技术、培训、响应能力和保险结合起来。

Uber 的案例则展示了纯技术方法的脆弱性。2016 年遭受黑客攻击后，他们实施了两因素认证——然而在 2022 年却又被一名利用 WhatsApp 社会工程手段的 18 岁黑客入侵。

van der Kleij 补充说：“这表明，如果只投入技术而忽视人因因素，就会形成根本性的薄弱环节，这对于那些一味优先采用技术方案的荷兰企业来说，尤为值得警惕。”

人因因素

van der Kleij 挑战了长期以来存在的观点，即人是网络安全的最薄弱环节。“当事情出问题时，人往往成为被指责的对象，但真正的漏洞通常存在于系统的其他部分，往往源自设计本身，”他说。

这种错误的指责也反映在支出上：85% 的网络安全投资用于技术，14% 用于流程，仅有 1% 用于人因因素。然而，ABN Amro 的研究显示，钓鱼攻击——这种依靠心理操纵而非复杂技术成功的攻击——影响了 71% 的荷兰企业。

van der Kleij 指出：“我们几十年来一直知道，人们不可能在数十个账户间记住复杂密码，但我们仍然对他们提出这种要求，然后对他们自创的变通方法感到惊讶。”

“与其责怪用户，不如设计出能让安全行为更容易实施的系统。在荷兰，我们需要在安全团队中提高人因意识，而不是仅仅为终端用户提供更多的安全意识培训。”

不作为的后果

为何尽管风险明显，许多荷兰中小企业仍未投资于网络韧性？van der Kleij 认为，这主要关乎行为与理念，而非企业规模。“关键不在于规模或行业，而在于行为和信念，”他说。

许多荷兰企业家普遍存在这样一种局限性观念：“我太小，不会成为目标”或者“我没有机密信息”。令人惊讶的是，即使公司遭遇了网络攻击，这种思维方式也不会改变。“研究表明，当企业遭受攻击时，并不会自动促使其改善安全措施，” van der Kleij 说道。

问题的关键在于如何触及最需要帮助的企业。“我们有优惠券，也有安排让企业家以大幅折扣获得网络安全专家的帮助，但参与率依然微乎其微，” van der Kleij 指出。“总是只有那些已经相对成熟的大公司主动找上政府，而小企业则始终难以触及。”

van der Kleij 认为，通过建立合作伙伴关系而产生的“关系资本”是提升荷兰网络韧性的关键。“建立合作伙伴关系可以增强网络韧性，”他说，并指出了政府鼓励的信息共享与分析中心等举措。

ABN Amro 的研究进一步揭示了合作的重要性：39% 的大型企业遇到的网络事件源自供应商或合作伙伴，而小企业这一比例为 25%。这种供应链上的脆弱性促使主要的荷兰企业通过例如 Big Helps Small 等举措向合作伙伴提出更高的安全标准要求。

欧洲法规也在强化这一趋势。新的 NIS2 指令将涵盖的荷兰企业数量将从数百家扩展至数千家，但目前只有 11% 的企业已做好充分准备。对于中小企业而言，大约一半几乎未做任何准备——尽管荷兰警方已警告勒索软件攻击日益频繁，罪犯往往威胁要公开泄露被盗数据。

van der Kleij 目前在 Avans 大学的研究主要集中于通过对荷兰企业家的焦点小组调查，识别阻碍网络韧性投资的障碍。“当我们理解这些障碍——这些障碍更多是动机上的，而非知识层面的——我们就能设计出有针对性的干预措施，”他说。

van der Kleij 的论断十分明确：“问题不在于您的组织是否会遭遇网络事件，而在于何时会遭遇以及您能否有效应对。网络韧性不仅包含网络安全，同时增加了对响应、恢复和适应至关重要的能力。荷兰是时候迎来一种全新的范式了。”