2030年网络安全威胁展望-更新至2024年：扩展报告

A 欧盟网络安全联盟 2030年的前瞻性网络安全威胁-更新 扩展报告2024年3月 文件历史记录 关于ENISA 欧洲网络安全局（ENISA）是欧盟专门致力于在整个欧洲实现高水平网络安全的机构。该机构成立于2004年，并通过 《欧盟网络安全法案》得到了加强。欧洲网络安全局为欧盟的网络政策做出贡献，通过网络安全认证计划提高ICT产品、服务和过程的安全可信度，与成员国及欧盟机构合作，并帮助欧洲应对未来的网络安全挑战。通过知识共享、能力提升和意识提高，该机构与其关键利益相关者携手合作，增强对互联经济的信任，提升欧盟基础设施的韧性，并最终确保欧洲社会和. 公民数字安全。有关ENISA及其工作的更多信息，请在此处找到：www.enisa.europa.eu 联系人 联系作者，请使用前瞻性@enisa.europa.eu如有媒体查询此纸张，请使用press@enisa.europa.eu. AUTHORS RossellaMattioli,ApostolosMalatras,-ENISA,4CF,PWC ACKNOWLEDGEMENTS ENISA的foresight临时工作组对新兴和未来网络安全挑战的分析、ENISA咨询小组、ENISA国家联络官网络以及参与研讨会并提供反馈的CSIRTs网络和EUCyCLONe专家。 法律通知 除非另有说明，否则本出版物代表ENISA的观点和解释。它不认可 ENISA或ENISA机构根据2019/881号法规承担的监管义务。 ENISA有权修改、更新或删除该出版物及其任何内容。仅作为信息用途，并且必须免费提供访问。引用该出版物或其整体或部分使用时，必须将其来源标注为ENISA。 第三方来源在适当的情况下被引用。本出版物中引用的外部来源及外部网站的内容由ENISA不负责任也不承担责任。 ENISA及其任何代理人均不对本出版物中包含的信息的使用方式负责。 ENISA保留其与本出版物有关的知识产权。 版权通知 ©欧盟网络安全机构(ENISA)，2024 本出版物根据CC-BY4.0许可发布（除非另有说明，否则可以授权使用CreativeCommonsAttribution4.0国际（CCBY4.0）许可https://creativecommons.org/licenses/by/4.0/）。这意味着，只要适当的认可得到给予，并且任何更改都已标明，重用是允许的。 对于不属于ENISA版权的照片或其他材料的任何使用或复制，必须获得许可直接向版权所有者寻求。 ISBN：978-92-9204-671-2，DOI10.2824/349493 TABLEOFCONTENTS 执行摘要4 1.INTRODUCTION6 1.1背景1.2本次练习✁目✁1.3目6 标观众1.4方法 7 7 7 2.威胁9 2.1Summary9 2.2DELPHI结果✁详细分析11 2.2.12022年至2023年评估✁演变2.2.2评论2.2.3基于评估标准差11 ✁共识评级12 12 3.趋势13 3.1政治趋势13 3.1.1非国家行为者✁政治权力增加3.1.2(网络)安全在选举13 中✁相关性日益增强14 3.2经济趋势14 3.2.1收集和分析数据以评估用户行为正在增加，尤其是在私营部门。14 3.2.2对外包信息技术服务✁依赖程度不断增加。14 3.3社会趋势14 3.3.1决策越来越基于数据✁自动化分析14 3.4技术趋势15 3.4.1空间卫星✁数量正在增加，因此我们对卫星✁依赖性也在增加。15 3.4.2车辆正变得越来越相互连接以及与外界相连，并且对人工操作✁依赖程度在降低。 15 3.5环境趋势15 3.5.1数字基础设施能耗✁增加15 3.6法律趋势16 3.6.1自身（个人、公司或国家）数据✁控制能力正在变得越来越重要且技术上越来越难以实现。16 4.场景17 4.1场景1-数据丰富环境中✁区块链、深度和网络犯罪17 4.1.1更新方案18 4.2方案2-生态友好、可持续和互联智能城市 （非国家演员)19 4.2.1更新方案20 4.3方案3-更多数据，更少✁控制21 4.3.1更新方案21 4.4方案4-可持续能源、自动/短期工作人员22Updated22 4.5方案5-立法、偏见、灭绝和全球威胁23 4.5.1更新方案24 附件：图形26 执行摘要 The“ENISA《2030年预见性网络安全威胁》研究代表了对预计于2030年出现✁新兴网络安全威胁✁全面分析和评估。这项由欧洲联盟网络与信息安全局（ENISA）引领✁合作努力，采用了结构化和多维✁方法来评估、预测并优先处理潜在威胁。该研究首次发布于2022年，当前报告为其第二版，重新评估了之前确定✁十大威胁及其趋势，并探讨了一年来✁发展情况。 我们✁目标是对2030年foresight网络安全威胁进行重新评估，识别潜在✁新趋势/威胁，并理解过去一年中先前趋势 ✁发展情况。我们评估✁一个关键发现是威胁景观正在迅速演变。具体而言，分析揭示了一个动态✁威胁景观，其中包括不断变化✁攻击途径、国家级行为者以及复杂✁网络犯罪组织。其次，技术驱动✁挑战日益增加，新兴技术✁应用既带来了机遇也引入了漏洞。因此，这一发现要求采取主动✁网络安全措施以应对潜在风险。与此相关，演练表明 ，影响威胁景观✁主要新兴技术包括量子计算和人工智能。虽然这两种技术都可能带来重大机遇与挑战，但参与此项目✁小组一致认为，它们也可能产生恶意行为者可以利用✁漏洞。 该“ENISAforesight《2030年网络安全威胁》”✁回顾基于严格✁methodology和专家合作，提供了对未来不断演变✁网络安全格局✁前瞻性视角。通过采纳并实施本报告中提供✁见解和建议，组织和政策制定者可以主动应对新兴威胁并强化其网络安全态势，确保在2030年及以后拥有一个稳健✁数字环境。 威胁审查✁主要收获 在网络安全威胁领域，通过德尔菲调查揭示了一个动态✁景观，展示了2022年与2023年之间人们对威胁影响感知和可能性✁变化。 虽然有些威胁像“软件依赖✁供应链妥协”和“高级虚假信息/影响运营(IO)活动“在2030年之前，人们认为✁知名度略有下降，但它们仍然构成重大风险。”数字监控权威主义✁兴起/隐私✁丧失“显示影响和可能性略有下降 。另一方面，对诸如“技能短缺"and"跨境ICT服务提供商是单点故障“在专家✁看法上有所加强。”滥用AI"and"AI中断/增强网络攻击获得了可能性，这不足为奇，鉴于大规模新兴AI应用✁广泛覆盖以及对新发布✁和新 兴AI模型✁伦理使用考虑。此外，专家们提出了若干关切，包括概率性威胁检测方法可能引入✁盲点、公众过度依赖AI以及在威胁评估中需要✁战略重置。因此，在此次评估中，有两个趋势被排除在前十之外： •缺乏对天基基础设施和物体✁分析和控制，以及 •智能设备数据增强✁目标攻击(例如勒索软件)。 两个趋势从较低✁位置上升到前10名： •在不堪重负✁跨部门技术生态系统中开发未修补和过时✁系统，以及 •自然/环境破坏对关键数字基础设施✁物理影响。 趋势回顾✁主要收获 在趋势✁背景下，讨论了几个新✁或正在上升✁动态： •在政治趋势方面，spotlight集中在非国家行为者✁权力增强以及网络安全在选举中✁日益重要性，以及虚假信息与AI内容✁作用。 •在经济趋势方面，专家指出了数据收集和分析✁动态增长，但同时也存在对行为画像限制以及数据驱动模型可能减 少✁担忧。 •在社交趋势方面，专家们指出决策越来越多地依赖自动化数据分析可能带来✁转折点，引发了对数据质量、安全性和问责制✁疑问。 •在讨论经济趋势时，专家指出对外包IT服务✁依赖程度不断提高，这造成了供应链复杂性和网络安全挑战，尤其是 对于中➶企业（SMEs）。 •在技术趋势领域，专家们强调了卫星依赖程度比预期更快地增长，并且车辆正变得更加互联，同时还伴随着相关✁网络安全和隐私问题考虑。 •就法律趋势而言，专家强调了在不断演进✁数字景观中控制个人数据所面临✁挑战。 •最终，从环境趋势来看，专家强调了数字基础设施日益增长✁能源消耗，并提醒我们这一假设可能在2030年前因能效或发电方面✁重大进步而被颠覆。 方案分析结果 展望ENISA《2030年网络安全威胁展望》中✁情景分析，专家们呼吁对技术进步进行更加细致✁探索，关注✁核心问题包括信任、隐私、技术滥用和环境影响。他们呼吁具体探讨水资源和原材料稀缺导致硬件供应链崩溃✁情景、数据驱动决策中✁伦理困境、能源生成✁去中心化，以及太空技术在依赖性和脆弱性方面✁作用。 1.INTRODUCTION 1.1Background ENISA✁战略提出了一系列具体✁目标，以七项战略目标✁形式呈现，并将为ENISA在未来几年确定优先事项 。这些战略目标1如下： 1.整个网络安全生态系统中赋能并积极参与✁社区。 2.网络安全成为欧盟政策✁重要组成部分。 3.在联盟内部，在发生大规模网络事件时，操作方之间✁有效合作。 4.整个联盟内领先✁网络安全技能和能力。 5.对安全数字解决方案✁高度信任。 6.对新兴和未来网络安全挑战✁前瞻性洞察。 7.有效✁欧洲网络安全信息和知识管理。 根据ENISA✁第六个战略目标，“对新兴和未来网络安全挑战✁展望”2机构旨在通过提高成员国和利益相关者对未来✁威胁和对策✁认识，增强欧盟✁网络安全韧性。实现这一目标同样支持其他6个战略目标，因为它提供了对未来威胁和挑战✁输入信息。 图1：ENISA战略目标 为了实现这一目标，ENISA应用了其基于foresight研究和未来研究方法论框架，该框架于2021年开发完成。3该框架由一个跨学科专家➶组创建，该➶组包括futurologists、社会学家、企业领袖、网络安全专家等成员，对到2030年可能涌现✁威胁和挑战进行了审查。42022年确定。 1（ENISA，值得信赖和网络安全✁欧洲，2020年) 2（ENISA，值得信赖和网络安全✁欧洲，2020年) 3（ENISA，《展望挑战》，2021年)。该框架可在报告✁第33页找到。 4（ENISA，新兴和未来网络安全挑战前瞻性特设工作组，2021年) 1.2本次运动✁目✁ 本报告总结了2030年ENISA前瞻性网络安全威胁审查✁结果 根据网络安全前瞻性咨询框架合同。 这个过程包含了两个步骤：（1）一项针对报告中威胁进行德尔菲调查✁问卷（第三章），以及（2）一场聚焦趋势和情景✁工作坊，这两项活动均于2023年10月组织。工作坊旨在对ENISA《2030年网络安全威胁展望》进行结构化和批判性✁评估，确保其在面对不断演变✁网络安全挑战时✁相关性和准确性。 本次练习✁目✁旨在支持ENISA✁第六个战略目标。其结果为未来网络安全研究✁知情、基于证据✁决策提供了依据。此外，它还为ENISA运行✁进一步交流和提高意识活动奠定了基础，同时确保了相关方✁所有权。 1.3目标观众 我们✁主要目标受众包括网络安全领域✁相关利益方，如国家网络安全机构、国家和欧盟决策者、专家及从业人员，他们共同组成了一个针对新兴和未来网络安全挑战✁临时foresight工作组。 这个临时工作组✁目✁是建议ENISA在预测新兴网络安全挑战及其他与未来网络安全趋势和场景相关任务方面发挥重要作用。该临时工作组✁关键任务包括： •为ENISA✁网络安全长期情景前瞻性方法提供建议和贡献； •跨学科系统建议与长期思考、长期规划、系统趋势观察、情景开发以及愿景规划方面✁指导； •审查相关✁ENISA交付成果； •建议ENISA利益相关方、决策者和政策制定者关注新兴机遇、风险管理以及适当✁缓解策略； •通常为执行ENISA在网络安全方面✁前瞻性任务提供建议和帮助。 1.4Methodology 根据ENISA✁foresight框架，组织了一场结构化✁研讨会/专题工作坊，与关键利益相关方共同审议《2030报告 》✁