世界經濟論壇《2025年全球網路安全展望》六大重點發現摘要分析報告

 

前言與概要

世界經濟論壇（World Economic Forum, WEF）在2025年1月13日發布《2025年全球網路安全展望》（Global Cybersecurity Outlook 2025)報告彙整來自全球57個國家共321名資訊安全領域之政府官員、企業領袖及專家學者之觀點。今年度報告的核心主題是當前網路安全格局的高度複雜性 (Complexity)。這種複雜性主要源於地緣政治緊張局勢、威脅型態的轉變、供應鏈網路安全、法規監管壓力、人工智慧（AI）與新興科技的發展，以及組織或企業在資安技能與人才上的顯著差距。

2025年重點發現

一、地緣政治加劇對各國關鍵基礎設施的威脅

地緣政治緊張局勢（如俄烏戰爭）持續升級，對包括能源、通訊、水利及天然氣管線等關鍵基礎設施構成了虛實攻擊的重大威脅。高風險領域中，特別是民生相關的水利設施、支持關鍵研究的生物安全系統、通訊基礎設施及能源設施，已成為網路攻擊的主要目標。根據調查，有近60%的組織或企業表示地緣政治緊張局勢對其網路安全戰略產生影響。其中：

比例	影響內容
18%	組織或企業調整了其貿易和營運政策
17%	組織或企業終止在特定地區的業務
16%	組織或企業因地緣政治的升溫更換在地供應商

二、勒索軟體為首要威脅，生成式AI應用讓網路犯罪複雜化

調查顯示，有近72%的組織或企業認為網路風險持續上升，其中勒索軟體攻擊、網路詐欺、網路釣魚及社交工程攻擊成為主要威脅。同時，身份竊取 (Identity theft) 是組織或企業認為目前面臨最高的個人風險。

另一方面，生成式AI GenAI的快速發展，降低網路犯罪成本與技術門檻，助長「網路犯罪即服務」(Cybercrime-as-a-Service, CaaS）商業模式規模化的擴張讓犯罪份子利用GenAI工具改善其攻擊方法並實現流程自動化，讓網路攻擊變得更加精準。同時，生成式AI更助長深偽技術的應用自2024年第1季度起，暗網內深偽工具交量數量成長了223%，讓攻擊者可藉此產出逼真的聲音、影圖像等對企業目標員工進行長期偽裝互動，進而詐騙或侵入企業IT系統。根據調查顯示，55% CISO（資安長）認為深偽技術有效模仿重要人士，對其企業構成中等程度之威脅。

推薦課程：

• 網路安全封包分析認證課程
• EC-Council CEH駭客技術專家認證課程
• 企業網路靶場Cyber Range實機攻防演練課程

三、供應鏈網路安全面臨3大挑戰

供應鏈的複雜性以及組織或企業對供應鏈控制能力的侷限，已成為組織或企業管理層的主要擔憂。根據調查，有54%的大型組織將供應鏈網路安全視為主要挑戰，分別呈現以下3個方面：

供應鏈資安防護現況的透明度不足

組織或企業無法掌握供應鏈的網路安全防護現況，導致整體供應鏈的安全性難以獲得保障。對此有41%的專家建議改善供應鏈網路安全的首要步驟，是提升第三方供應商的透明度，鼓勵企業從了解供應商的安全措施與營運狀態入手。

執行網路安全標準的困難

要求供應商遵守一致的網路安全標準變得越具挑戰性，特別是在多層次供應鏈或供應鏈長度較長的情況下。此外，執行情況也會因組織或企業規模而異，大型企業通常能施加更多要求，而中小型企業則面臨資源與影響力的限制。

對關鍵供應商的過度依賴

組織或企業過於依賴少數大型供應商，這可能將引發系統性風險，一旦這些關鍵供應商出現問題，其影響將迅速蔓延。如2024年CrowdStrike雲端安全軟體的錯誤更新導致全球IT系統中斷，波及多國政府和企業，影響範圍極為廣泛。

最後，不同規模的組織或企業對網路安全的關注重點呈現顯著差異，如大型企業或組織較著重第三方風險管理，重點放在供應商和合作夥伴的網路安全措施是否合規。而小型企業或組織則較關注外部的威脅環境對其營運的影響，包括自身網路安全技術的不足及對事件回應的準備程度等。

推薦課程：

• 藍隊資安防禦通識-EC-Council CND認證課程
• 藍隊資安事故處理-EC-Council ECIH認證課程
• 藍隊資安SOC監控-EC-Council CSA認證課程
• 藍隊資安威脅分析-EC-Council CTIA認證課程
• 資安事件損害控制暨資料復原實務
• EC-Council EDRP資安災害復原專家認證課程

四、網路安全法規監理的重要性與挑戰

調查顯示有87%的執行長（CEO）和78%的資安長（CISO)表示，實施網路安全法規的主要動機是為提升組織的安全態勢並減輕網路風險特別是在供應鏈、共享基礎設施或跨國營運等系統性風險出現時多數CISO肯定法規為企業設置了最低安全要求，有助於降低風險並增加客戶信任。

惟全球網路安全法規的成長與複雜化，有69%的組織或企業面臨以下合規挑戰：

網路安全法規合規挑戰

法規要求的區域差異：不同地區的法規存在差異，企業須適應多樣化的合規要求。

監理範疇的重疊高：部分法規內容重疊，讓企業在遵守規範時增加重複性工作。

執行時間表不一致：各地法規的實施時間表不同，讓企業難以同步應對合規。

此外，調查報告也強調，監理力度較弱的產業，可能會成為間接威脅高度監理產業的渠道，進而削弱整體產業生態系統的網路安全韌性建設。

推薦課程：

• 資通安全法令遵循實務
• EC-Council CCISO資安長課程

五、多數企業尚未建立AI安全部署流程

人工智慧（AI）與新興技術協助組織提升效率與改善營運的契機，許多企業積極將AI技術整合至其基礎設施。惟這些技術實施後所伴隨的網路風險卻未受到足夠重視。調查顯示，有66%的組織或企業認為AI將對網路安全產生重要影響，但僅有37%的組織或企業已經制定AI的安全部署流程。其中，小型組織面臨的挑戰尤為突出，69%的小型組織尚未建立防護措施，例如未有日誌紀錄確保AI訓練資料的安全性，或未能有效監控AI系統行為，以即時發現潛在風險。

推薦課程：

• ISO/IEC 42001 : 2023主導稽核員(AIMS,人工智慧管理系統)
• EC-Council CEH駭客技術專家認證課程

六、全球網路安全經濟不平等與資安技能、人才差距

全球網路安全經濟的系統性不平等問題持續惡化。大型組織普遍對其網路安全措施抱有較高信心，而35%小型組織則表示其防護措施仍顯不足。此差距突顯不同規模組織或企業在應對網路威脅時存在的能力差距。然而，縮小此一差距不僅取決於技術與資源的投入，還高度依賴管理層的參與。

管理層的參與是推動網路安全韌性的關鍵因素。高韌性組織通常展現出更全面的高階管理人員的參與和支持，有62%的董事會在高韌性組織中定期收到與網路攻擊相關的威脅情資報告，並據此制定應對策略。高韌性組織還提供多種支持措施，包括：76%提供網路培訓與意識教育課程、62%設有專業資安事件應變團隊。同時，完善的網路安全事件處理流程、制定網路安全應對手冊、定期舉行危機演練、建立內部回應能力措施以及購買資安保險等皆為常見措施。相較之下，低韌性組織的管理層參與則顯著不足，僅29%的董事會定期關注網路安全情報。

此外，各產業的韌性發展也存在差距，金融業的網路安全措施防護情形最為成熟，得益於其產業面臨高合規要求以及資源投入。而製造業則仍處於建立網路安全韌性文化的初期，受限於較低的資源投入和網路安全意識。另一方面，公部門面臨的挑戰亦為突出，有38%受訪者指出，資源限制與基礎設施可用性不足，導致其網路安全韌性能力明顯不足。

最後，技術與人才短缺也是組織提升網路韌性的主要挑戰。調查顯示，有39%的組織或企業表示缺乏足夠的技術能力與專業人才來應對網路威脅；而僅有14%的組織或企業表示其具備足夠的人才與技術來支持其實現網路安全目標。

推薦課程：

• 資訊安全分析實務-方法、流程與工具
• 藍隊資安威脅分析-EC-Council CTIA認證課程
• EC-Council CCISO資安長課程
• CISSP資安系統專家認證課程
• CISM國際資訊安全經理人認證專班

結論

　　在當今日益複雜且威脅快速演變的網路環境中，企業正面臨前所未有的挑戰。尤其是在地緣政治緊張局勢的推動下，網路攻擊的規模與影響範圍持續擴大，對組織的營運韌性和長期發展構成重大威脅。面對這些挑戰，世界經濟論壇（WEF） 呼籲企業重新審視其網路安全策略，並將網路安全成本從傳統的運營支出轉變為平衡業務增長與降低風險的策略性投資。網路安全應被視為未來競爭力的重要基石。唯有以長遠視角進行策略性投資，企業才能在新興威脅與全球挑戰中保持韌性，並穩步推動業務的可持續發展。

參考網址：國家資通安全研究院國際合作及資安治理中心