为什么网络安全人才短缺是全球性威胁

在数据跨境流动的数字转型时代，数据安全至关重要。网络攻击已不再是孤立事件，而是影响经济、产业和国家安全的全球性挑战。对抗这些威胁时最紧迫的漏洞正是全球网络安全人才短缺。这不仅是劳动力问题，更是对经济稳定、社会安全和国际安全构成严重风险的系统性议题。

网络安全威胁的全球性升级

过去几年间，网络攻击变得更加频繁、复杂且破坏性增强。根据2023年IBM数据泄露成本报告，数据泄露的平均成本已达到445万美元，三年间增长15%。此外，83%的受访企业在去年遭遇过不止一次数据泄露，可见这类攻击已变得多么普遍。2023年还出现针对医疗、金融服务和能源基础设施等关键行业的勒索软件攻击激增。

典型案例是2024年美高梅度假村的勒索软件攻击，导致其酒店系统瘫痪数日。预订系统、数字房卡、ATM和老虎机全部停摆，造成数百万美元损失。该事件暴露出酒店业数字基础设施的脆弱性，凸显需要专业网络安全人才应对复杂威胁。

2022年，哥斯达黎加遭遇史上最严重的政府网络攻击。Conti勒索软件组织发起的攻击使该国公共部门全面停摆，危机高峰期日均经济损失达3000万美元。此类攻击无论是国家支持还是经济利益驱动，都揭示出全球网络防御存在的重大缺口，其中多数可归因于日益加剧的技能短缺。

但最紧迫的问题不仅是攻击频率和复杂度的上升，更是我们缺乏应对这些威胁的人力资源。

网络安全技能缺口：持续扩大的危机

随着网络威胁加剧，对专业人才缓解风险的需求变得至关重要。然而，网络安全人才需求与供给之间存在严重失衡。(ISC)² 2023年网络安全劳动力研究显示，全球网络安全专业人才缺口约350万人。该数字较往年急剧上升，反映出技能工人供给与强劲网络安全需求之间的差距正在扩大。

同一报告发现，70%的企业难以招聘和留住网络安全专业人员，尤其在云安全、威胁情报和事件响应岗位。合格人员的缺失使企业更易受攻击，且在事件发生时应对能力不足。

近年来，网络安全技能缺口因以下因素持续扩大：

技术变革的快速步伐：随着企业采用云计算、物联网设备和AI驱动应用，网络犯罪分子的攻击面得以扩展。每项新技术都需要安全专业知识，但网络安全劳动力未能同步增长。
网络攻击增加：COVID-19疫情加速远程办公和数字服务普及，为网络犯罪分子提供新的可乘之机。攻击激增进一步加重本已超负荷的网络安全团队负担。
网络安全的复杂性：网络安全是多领域交叉学科，需掌握网络安全、加密技术、道德黑客和威胁情报等深度知识。随着攻击手段日趋复杂，对专业化知识的需求增长，使得找到具备合适专长的人才更加困难。
认知与培训缺失：尽管对网络安全专业人员的需求增长，学生和转行人员仍缺乏对该领域机会的认知。教育机构往往缺乏资源或最新课程来帮助个人适应现代网络安全工作的现实需求。

对经济稳定的全球性威胁

网络安全人才短缺不仅是技术或组织问题，更是全球经济威胁。网络攻击具有深远的财务影响，每年给企业造成数万亿美元损失。 Cybersecurity Ventures报告预测，到2025年网络犯罪将使全球年损失达10.5万亿美元。该数字较2015年的3万亿损失呈现剧增，凸显网络攻击驱动财务损失的加速规模。

医疗和金融服务等行业尤其脆弱。2023年，58%的医疗机构报告遭遇至少一次勒索软件攻击。根据Sophos数据，医疗行业勒索软件攻击的平均成本接近1000万美元。随着全球医疗系统日益互联并依赖数字技术，该行业面临巨大风险。

金融领域，网络犯罪仍是首要关切。数字银行的兴起为网络犯罪分子创造了新的漏洞。例如，2023年世界经济论坛报告强调金融机构网络安全的重要性，警告该领域的重大中断可能导致系统性风险和经济不稳定。

超越单个行业，全球经济整体面临风险。随着各国通过贸易、供应链和数字商务更加紧密相连，对某一国家或组织的网络攻击可能产生全球连锁反应。

国家安全影响

网络安全人才短缺还对国家安全构成重大风险。各国政府依赖安全网络系统保护军事行动、情报机构和关键基础设施。随着网络战成为国家行为体的常用工具，国防部门和国家机构对专业网络安全人才的需求变得空前紧迫。

美国、英国和中国等国均已认识到增强网络安全能力的重要性，但它们与私营部门面临同样的人才短缺问题。缺乏必要人员，政府可能难以防御网络间谍活动、破坏行为和其他形式的网络战。

此外，私营和公共部门安全之间的界限日益模糊。国家支持的网络攻击常以私营企业为目标，窃取知识产权或破坏关键行业。例如，据信由外国国家实施的SolarWinds攻击同时危及私营企业和政府机构，说明网络安全威胁的互联性。

全球应对的必要性

解决网络安全人才短缺需要协调的全球响应。任何单一组织、国家或行业都无法独力解决此问题。政府、教育机构、私营企业和网络安全组织之间的协作对于建设技能娴熟且多元化的网络安全劳动力至关重要。

教育计划与培训项目

解决网络安全技能缺口最有效的方式之一是投资教育与培训。政府与私营组织需共同制定综合培训计划，帮助个人掌握进入网络安全领域所需的技能。这包括大学层级课程和更灵活、可快速提升技能的认证课程。

此外，需要提升对网络安全职业机会的认知。许多学生和转行人员不了解该领域多样的职位，从道德黑客到威胁分析师再到安全架构师。通过将网络安全推广为可行且回报丰厚的职业道路，可鼓励更多人投身此领域。

多元化与包容性

建设强大的网络安全劳动力也意味着拥抱多样性。历史上，网络安全行业一直受困于多样性不足，阻碍其吸引顶尖人才。女性、少数族裔和其他代表性不足群体在该领域占比仍然偏低，尽管他们的加入对创造复杂问题的创新解决方案至关重要。

通过促进多元化和包容性，组织不仅能填补人才缺口，还能从增强威胁防御能力的多元视角中受益。应优先开展针对弱势群体的外展、指导和支持计划。

公私合作伙伴关系

公共与私营部门之间的协作对解决网络安全人才短缺至关重要。政府应与企业密切合作，制定激励措施（如奖学金、资助和对投资网络安全培训企业的税收优惠），鼓励个人进入该领域。

此外，私营企业应在网络安全教育中发挥积极作用。实习、学徒制和导师计划可为学生和年轻专业人士提供实践经验和真实网络安全挑战的接触机会。通过提供实践学习机会，企业可帮助培养下一代网络安全专业人员。

全球协作

网络安全是需要全球响应的全球性挑战。各国应协作推进网络安全教育、研发计划。国际合作伙伴关系还有助于标准化网络安全培训和认证项目，确保全球专业人员具备应对网络威胁所需的技能。

联合国、欧盟和世界经济论坛等组织可在促进此类协作中发挥关键作用。通过共同努力，各国可分享知识、资源和最佳实践，强化全球网络防御。

自动化与AI的作用

尽管解决人才短缺至关重要，技术也能帮助减轻网络安全团队的负担。自动化和人工智能（AI）有望通过减少某些任务中的人工干预，彻底改变网络安全应对方式。

AI驱动工具可帮助识别漏洞、检测威胁并实时响应事件。通过自动化常规任务，网络安全专业人员可专注于更具战略性的举措和复杂挑战。但自动化并非人类专业知识的替代品，而是增强网络安全团队能力的工具。

全行业行动呼吁

网络安全人才短缺不仅是劳动力问题，更是影响经济稳定、国家安全和全球个人安全的全球性威胁。随着网络攻击持续增长且日趋复杂，对专业网络安全人才的需求变得空前紧迫。

解决此危机需要多层面方法，包括教育、多元化、公私合作和全球协作。通过共同努力，我们可建设能够防御未来威胁、守护数字未来的网络安全劳动力。

展望未来，企业、政府和教育机构必须优先发展网络安全人才。我们的经济、基础设施和社会安全正系于此。

关于作者

Dan Vigdor，ThriveDX联合创始人、联合CEO兼执行主席

Dan Vigdor是连续创业者，拥有30余年培育创新理念和发展使命驱动型企业的经验，曾颠覆多个行业。其卓著业绩展示了在全球多元商业环境中适应并成功的能力。怀着对影响力投资和改变世界的坚定信念，Dan以将雄心勃勃的构想转化为蓬勃发展的组织而闻名。其创业专长结合对创造改变的承诺，为持续成功奠定基础。

在先前创业中，Dan展现出跨行业创新的卓越能力。作为BornFree Holdings创始人，他通过推出美国首条全BPA（无毒）婴儿奶瓶产品线，彻底改变婴儿奶瓶市场。BornFree迅速成为全美母亲的首选，促使FDA修改法律禁止美国所有婴儿奶瓶使用BPA。Vigdor还担任Eyesafe.com董事会成员，该公司已成为世界领先设备制造商的最佳蓝光保护和管理解决方案。

除职业成就外，Dan是自豪的父亲和长期迈阿密居民。他深具承诺使迈阿密成为繁荣社区和更宜居之地，并积极参与YPO和犹太社区活动，强调慈善对子女教育的重要性。

通过ThriveDX，Dan旨在通过再培训和技能提升解决快速增长的网络技能缺口，满足不断演进的技术格局需求。通过提供网络安全领域稳定终身职业的路径，ThriveDX正积极应对当今国家面临的最紧迫问题——网络安防社会。Dan对赋能资源不足社区个体的坚定信念是ThriveDX成功的驱动力。认识到这些社区巨大的未开发潜力，Dan将为那些原本无法接触网络安全新兴领域职业的人们创造机会作为使命。