近年来,随着数字化转型的加速,英国众多大型企业纷纷将关键的IT及网络安全职能外包给低成本的海外服务提供商。此举短期内能够显著压缩运营成本,提高效率,但从长远来看,却隐藏着不可忽视的风险,直接威胁到英国的经济安全和企业供应链的稳健。近期发生在英国几个知名企业的网络安全事件便是警示,彰显了外包造成的系统脆弱性和国家层面的潜在风险。 英国的零售和制造业巨头如Co-op集团、Marks and Spencer(M&S)以及捷豹路虎(Jaguar Land Rover)都在五年内发生过重大网络勒索及敲诈事件,这三家公司均将其关键的IT及网络安全服务外包给印度的Tata Consultancy Services(TCS)。尽管并不意味着外包服务商完全负责这些安全事件,但外包带来的管理复杂性和安全漏洞极大增加了遭受重创的可能性。 这些网络攻击事件给受害企业带来了巨额经济损失。
根据英国网络监控中心的估计,Co-op与M&S遭受的攻击损失合计大约达5亿英镑。M&S的IT系统至今还在恢复中,Co-op集团则有超过一个月无法使用关键的IT系统。捷豹路虎的生产线因网络断联而停工超过十五天,单日损失据BBC估计约为1000万元英镑,累计损失可能超过1.5亿英镑,甚至有报道称每天损失高达7200万英镑。 这些事件的影响不仅局限于受攻击的企业内部,更波及到其供应链的中小型企业,导致大量员工失业。甚至已有呼吁要求政府启动专门的援助计划,利用纳税人的资金对供应商进行补助,以减缓危机带来的冲击,这表明网络安全事件的后果已经逐渐演变成国家级的经济问题。 将关键IT和网络安全职能外包主要是基于成本节约和提升效率的考虑。
然而,这种策略却带来了安全风险。外包商往往同时服务于数千个客户,并通过标准化流程和操作手册进行管理,使得攻击者只需掌握其中一个作业流程便可轻易渗透多个客户系统。而外包服务人员的薪酬通常偏低,安全意识和责任感难以保证,甚至存在接受贿赂协助攻击的隐患。换言之,这种规模化、流水线式的外包服务本身成为网络攻击的突破口。 资本主义市场的压力促使企业持续压缩IT预算,CIO们被迫每年削减约10%的费用。面对这样的压力,选择外包成为最快捷且普遍的解决方案,但此举实际上削弱了企业自身的防御能力和事件响应速度。
在网络安全领域,外部服务商缺乏对企业内部业务场景的深刻理解,防御和应急机制难以做到精准及时。保险公司对网络袭击的兴致反映出一套错位的激励机制:企业依赖保险转嫁风险,保险公司则从频繁理赔中获利,导致对真正提升安全防御的投入不足。 网络安全事件的连锁反应还表现在法律和社会层面。英国的相关法律目前更注重保护个人数据,推动企业增强数据保护能力,但对服务连续性和系统韧性的要求相对薄弱。于此同时,网络攻击的主攻方向逐渐从数据窃取转向造成业务持续性破坏,勒索团伙会首先删除备份和恢复系统以扩大破坏范围,这一点在英国多起著名案例中均有体现。企业缺乏做好一旦遭受严重网络攻击后快速恢复业务的能力,致使事件持续拖延,损失持续扩大。
从企业组织结构来看,像M&S、捷豹路虎和Co-op这样的企业虽然已经设立了网络安全部门或C级负责人员,但这些岗位在公司的权重和公开披露中极其有限,显示出企业对于网络安全重视程度尚未达到与其经济影响相匹配的水平。疫情催化了数字技术的普及,也放大了网络安全问题,若不进行结构性改革,英国经济面对更大规模网络攻击的脆弱性将愈加突出。 有效应对关键IT和网络安全外包带来的风险,需要多方面的协同努力。首先,政府应加快落地相关法规,强制企业披露是否支付网络赎金,禁止关键基础设施缴纳赎金,防止钱流逆向支持犯罪产业链。同时,针对大型企业应制定明确的第三方风险管理标准,将关键IT安全职能部分内建,推行内外结合的安全策略,减轻对外包商的过度依赖。 其次,必须提升全行业对信息安全的认知和培训水平,强化企业C级管理层对网络安全的责任感和投入,明确安全在企业战略中的位置。
企业应优化IT治理结构,明确设立专责领导负责网络韧性和安全事件响应,切实落实安全措施,确保关键业务连续性。 此外,应该推动网络安全产业改革,纠正当下保险和网络安全服务市场的错误激励机制。鼓励创新型技术研发,加强对威胁情报的共享,促进攻防技术的持续进步。国家层面需加大投资支持网络安全基础设施建设,打造更加坚强的数字经济护城河。 更广义来看,数字经济的快速发展和全球化使得英国企业与国际供应链紧密融合,在这一过程中,控制和管理外包带来的安全风险尤为重要。维护国家经济安全需要国家政策导向与企业运营策略的统一,将网络安全作为国家安全和经济战略的重要支柱,以防范潜在的系统性风险。
结语是,关键IT和网络安全职能的外包虽然带来了短期效益,但英国目前面临的实践证明,长期依赖低成本外包伴随的安全风险不容忽视。如何平衡成本节约和安全保障,实现企业韧性和国家经济的持续发展,是摆在英国政府和各大企业面前的核心课题。只有通过政策引导、行业规范和技术创新等多管齐下,才能为英国经济安全筑起坚固防线,保障未来数字经济的健康稳定发展。 。
