2024竟然被称为CISO年？

ESG网络安全服务的创始人Jon Oltsik梳理了2023年美国的几大“CISO事件”，以强调今年各行各业CISO的处境有多窘迫。今年5月，前优步首席信息官乔·沙利文，因“没有披露数据泄露事件”被判处缓刑三年，并支付了5万美元的罚款。沙利文出于对优步声誉的思考，没有第一时间上报相关事件，而是向黑客支付了勒索赎金，结果他同时被所在企业和监管定罪。当然，沙利文也已对定罪提出了上诉。

10月，SolarWinds的CISO Tim Brown被美国证券交易委员会（SEC）起诉。Brown被指控涉嫌犯有误导投资者的欺诈和内部控制失败罪。美国证券交易委员会（SEC）执法总监Gurbir Grewal公开指责Brown忽视了企业内部反复出现的危险信号，同时这些情况在整个公司都是众所周知的。美国证券交易委员会（SEC）在诉状中表示：“一个理性的投资者在考虑是否购买或出售SolarWinds股票时，会认为‘SolarWinds的真实安全状态’是很重要的，特别是公司对‘信息系统’和‘敏感数据’的访问控制。”这一事件引起了业界对CISO职位的普遍担忧，因为控制风险与优化投资一直是公司层面需要权衡的两个方面，很多公司会因投资不足而导致风险无法控制。

12月，Steve Katz去世，他是公认的史上第一位CISO。1995年，Katz首次在花旗担任首席信息官，之后他又在摩根大通和美林工作。根据bankinfosecurity的文章所示，Katz退休后的大部分时间都在倡导网络安全标准、信息共享和有效安全实践。

除了这些人的经历，Oltsik指出，CISO在2023年还面临了许多新的法规，当然，2024年还会有更多的法规出台。“就在今年，美国证券交易委员会出台了新的网络安全规则，其要求所有在美国上市的公司必须报告网络事件。在美国国内的发行人必须于四天内披露重大网络安全事件，并在8-K表格文件中披露重大网络安全事件；在美国国外的发行人必须提交6-K表格文件，以披露重大网络安全事件。同时各组织还必须在其董事会中，具备相关的网络安全专业知识，具备有所记录的风险管理计划，以及具备特定的网络安全领导层。”

此外，美国的金融业还面临着纽约州金融服务部23 NYCRR500的变化，其包含了对大公司的新要求、对董事会治理要求的扩大、对网络事件通知的扩大、对事件响应和业务连续性规划的新要求，以及额外的多因素身份验证要求。

Oltsik还提到了，在欧洲，NIS2将于2024年10月生效。此前，NIS1已涵盖了医疗保健、能源、运输、数字基础设施和金融市场基础设施等关键行业，这一次，NIS2将覆盖面扩展到了食品行业（生产、加工和分销）、社交网络服务平台、云计算服务和数据中心等行业。“NIS2主要侧重于四个领域：风险管理、公司问责制、报告义务和业务连续性。往下，在更精细的层面上，NIS2影响了加密技术使用、漏洞管理程序、员工访问敏感数据、多因素身份验证、评估安全技术功效、员工培训，以及与供应链安全相关的政策和程序。”

对比到国内，虽然大型的“CISO事件”并无披露，但从2023年整体趋势来看，监管高压态势依然持续，在坚持“纠罚并重、罚没并举、机构与人员双罚制”的同时，罚没金额以及罚单数量均有上升。而从各地公安执法的情况来看，数据安全和个人信息保护的执法对象不再只针对名声在外的大中型企业了，一些小商铺和个体户也被纳入执法范围。

显然，侵犯公民个人信息犯罪的案件数量出现了明显的上升趋势，而且是在行业分布上产生了较大的变化。除了个人信息泄密高风险行业外，比如物流、金融、电商等，攻击者也开始将视线转移到其他领域，其中的重灾区就是类似培训机构、房产中介、美容健身这些行业里的中小型企业。换句话说，中小型企业里，绝大多数的“一人安全部门”将面临更大的监管压力。

政策方面，《规范和促进数据跨境流动规定》《数据交易服务安全要求》《个人信息保护合规审计管理办法》等60多项与网络安全、数据安全相关的政策和标准在不断落地，更不要说还有多达百项的行业级和区域级合规政策，足以让各行各业的安全负责人为之焚膏继晷。

另一方面，在今年发生的各起勒索软件事件中我们可以看到，随着信息化的飞速发展，数据资产高度汇聚，价值越来越高，因此勒索软件攻击频发，而且会愈演愈烈。而随着AI技术的更迭，随着CHTA GPT的风靡，人工智能所带来的安全事件也成了全新的威胁。

而从国际形势来看，随着俄乌战争的持续，随着以巴战争的开启，网络战依旧暗流涌动，今年境外组织对国内气象局的攻击就是最好的证明。相关专家曾表示，如果敌对势力采集了我们军事目标附近的气象数据，在战时就可利用气象数据进行精准打击，给我们我们军事目标造成极端威胁。

另外，据教育部最新公布的数据显示，到2027年，我国网络安全人员缺口将达327万。然后将以上这所有事项都合并起来，就不难知道，对国内各行各业的安全部门和安全负责人而言，压力能有多大！

Oltsik要是能对话，他一定会说：“国内外的安全负责人可谓同病相怜。”根据信息系统安全协会（ISSA）最近的研究，尽管去年网络安全劳动力增长了近10%，但劳动力短缺却创历史新高，其数值接近400万，和国内几乎一致。同时，62%的受访CISO声称，他们的工作至少有一半时间处于压力之中，巨大的工作量包括了与业务经理的合作、应对层出不穷的监管政策、对抗日益变化的网络攻击，以及跟上新业务计划的安全要求等。此外，36%的CISO表示，他们很可能会在明年离职，这一比例在非CISO的安全人员身上体现为26%。当然，还有46%的受访者表示自己会完全脱离网络安全。

CISO会放弃网络安全的原因是什么？报告显示，65%的受访者觉得，完全是因为网络安全工作带来的压力太大；43%的受访者表示他们的组织没有认真对待网络安全，所以再继续奋斗下去没有意义；另外还有39%的受访者表示，自己快要退休了，以网络安全人员的身份退休似乎并没啥值得乐道的地方。

Oltsik表示，鉴于CISO的职位压力越积越大，他相信2024年将是CISO的转折点。“需要明确的是，我并不是在重复一些陈词滥调，比如为了激励CISO刻意营造出积极的氛围，又或者是附庸谁的建议，做些提倡。我只是单纯的说出自己的预测，个人认为，在2024年，全球各行各业对CISO的角色认知都将彻底改观。”以下是Oltsik的五个预测：

对于这种种变化，Oltsik提议将CISO的角色一分为二。“CISO要么专注于业务，专注于风险管理和法规遵从性；要么专注于威胁预防、检测和响应，成为技术型高管。前者应向CEO和董事会报告；后者可直接向首席信息官报告。”

对于安全角色在2023年该有怎样的总结，2024年安全行业又会怎样的发展，国内安全专家如此解读。

某金融科技公司安全总监王明博表示，作为经历过甲乙方，也经历过短暂创业的安全人员，他觉得对于安全行业来说，2023年是艰苦但充满希望的一年。“其实2023年对于安全从业人员和大多数科技从业人员一样，都比较艰苦，经历了年初疫情放开充满希望，但是随后都面临了经济下行带来的巨大压力。对于乙方来说，因为受经济影响，不少企业开始缩减成本，安全相关的项目和预算不可避免的受到影响。对于甲方来说，裁员和缩招也影响到了安全团队，大家需要面临人少事多的困难，甚至需要面对失业的难题。”

不过从另外一些角度，王明博也觉得2023年是充满希望的一年，其主要有三点：

1、网络安全的市场空间还是巨大的，国内很多的行业，企业都未完成科学的、有效的安全建设。随着经济下行，企业在面临营收压力的同时，也面临着安全合规的要求，同时也需保护自己的数字资产，这些都是现实压力，能让企业真正认识到“网络安全需求也是自己的生存需求之一”。如此，在甲方工作得更务实、技术更扎实的安全从业人员们，可获得更多的生存空间和发展机会，也能让为企业提供务实、有效安全产品和安全服务的乙方企业，可以更好的崭露头角，获得更多的机会。

2、2023年也涌现了很多新的机会，给安全行业带来了新的希望，比如CHATGPT的出现引爆了新的一轮AI热潮，无论是保障AI的安全，还是基于AI做安全创新都大有可为。再比如国内经济内卷的情况下，企业出海在2023年成为了新的方向，出海企业的安全建设，安全合规成为了刚需，产生了更多的安全岗位，同时不少安全企业也在走出国门，希望在全球市场中分一杯羹。

3、随着我们国家数据安全立法、数据安全和隐私合规的监管逐渐落地，这已经使得企业开始认真看待自身的网络安全及数据安全的建设。“今年我也看到了不少企业在数据安全上有了更多的建设和投入。安全行业也认识到网络安全建设的价值内核就是数据安全，而数据安全的需求将会带动国内安全行业更快速的发展。”

王明博表示，总体来说，2023年对于甲方和乙方来说都比较困难，但是只要信息技术还是在发展，网络安全行业就会拥有很多发展机会，而我们在面对危机时，应当沉淀好技术，保持学习，保持变化，这样就能迎来光明的未来。

而诸子云北京会长杨海青表示，作为安全人员，他觉得2023年这一年对于安全行业有几个方面的总结：

1、受到宏观经济影响，甲方建设需求热点降低，安全行业整体营收下降，同时受到前期长期的最低价竞争带来的隐患爆发，会造成大量的项目无法交付或无法通过验收，后续市场会逐步回归理性。

2、创业公司靠热点融资的时代一去不复返了，全部要看市场生存能力来验证，说得好不如做得好。

3、随着政策法规持续加强，甲方需求会更加聚焦和明确，安全行业靠技术老底子混日子的可能难以继续了，这将会推动网络安全技术的创新和发展，同时对资质的审核受到合规管理的驱动，入围门槛会更加严谨。

而针对2024年，杨海青做出了以下预测：

1、AI和机器学习在网络安全中的应用将进一步增加：AI和机器学习技术可以帮助网络安全人员更好地检测和应对威胁，预测未来的攻击模式，加强网络的安全性。

2、网络安全保险在市场的热度将会升高：随着互联网技术的不断发展，网络威胁和安全风险也会不断增加。为了应对这些风险和威胁，网络安全保险可能会继续提供广泛的保护方案，帮助个人和组织应对和减轻网络攻击、数据泄露等安全事件带来的损失。同时，政府和相关部门也会加强监管和合规要求，以提高网络安全水平和保护用户权益。

某集团安全专家梁龙亭认为，2023年算是安全行业最艰难的一年，因为今年是数字化转型停滞发展的一年，影响广泛！“我们需要知道的是，信息化是‘骨’，数字化是‘皮’，安全是‘毛’，合规是‘衣’，由于企业活下去占据了主旋律，导致信息化瘦‘骨’嶙峋，数字化‘皮’之不存，安全‘毛’将焉附，合规自然‘衣’不蔽体，所以今年总结来说就是既难堪又难看的一年。如果要展望2024年的话，希望大家都身强‘骨’健，‘毛’‘皮’无损，丰‘衣’足食。”

总而言之，就像某审查部专家说的那样，2014年之后，和数据安全相关的制度会越发完善、深入实施，而安全行业也会逐渐围绕数据核心的趋势做进一步强化。此外，安全服务化、定制化特点会更加明显，人才需求会更加突出。明年，合规需求市场会进一步增长，个性化咨询服务会持续提升，面向定制化的项目解决方案会更加凸显，人员培养和能力提升的市场会持续扩大，而我国的整体安全建设也会更加完善，社会也会越发繁荣安康。