专家警告：网络攻击可致企业停摆 匈牙利企业IT安全与合规性面临严峻挑战

布达佩斯——网络安全专家警告称，一次网络攻击或简单的IT事件已远超技术问题范畴，可能导致企业业务完全停摆，甚至危及其长期生存。

专家指出，许多企业仍低估此类风险，将网络安全视为可由IT部门单独解决的“技术问题”。然而，若缺乏最新的备份、经过测试的恢复流程或业务连续性计划，企业在遭受攻击后可能面临漫长的生产中断。

业务中断代价高昂

网络安全顾问塞凯尔·佐尔坦（Szekér Zoltán）表示，风险非常现实。他举例称，匈牙利一家制造企业估计，一小时的系统中断就会造成数千万福林的损失，这还不包括供应链影响、合同违约金或声誉损害。国际案例表明，实际损失可能更大，尤其是当中断时间延长或影响多个系统时。

问题在于，这些数字很少以结构化形式出现在企业决策过程中。安全改进（如冗余系统）在投资端表现为即时成本，而中断风险则是未来可能发生的事件。这导致管理决策常常扭曲，企业倾向于回避确定的成本，而忽略不确定的未来损失可能性。

合规性重点转向实际运营

合规专家叙克什德·彼得（Sükösd Péter）指出，企业合规性的重点已从单纯遵守内外规则，转向将业务连续性、IT安全、事件处理和恢复能力纳入统一风险管理范畴。

欧盟的《网络与信息系统安全指令第二版》（NIS2）和《数字运营弹性法案》（DORA）等法规的逻辑已不再简单询问企业是否有政策，而是追问行动链是否真正有效：是否有事件处理机制、报告义务、指定负责人以及经过测试的恢复流程。

这意味着，仅停留在纸面上的合规已不足够，企业必须证明其在遭受事件时仍能保持运营能力。

“影子IT”与“影子AI”构成新风险

塞凯尔·佐尔坦指出，员工为求效率，在未经授权的情况下使用外部系统或向公共界面上传内部公司数据，即“影子IT”或“影子AI”现象，是目前增长最快且最难管控的风险之一。新一代员工将使用AI工具视为理所当然，他们关注的是效率而非是否符合内部政策。

叙克什德·彼得补充道，这种做法同时带来数据保护、商业秘密泄露和竞争法风险。一旦敏感数据被上传至公共AI系统，除了违反内部规定，还可能引发赔偿和/或刑事责任风险。

人为因素与组织缺陷是薄弱环节

专家一致认为，大多数情况下，薄弱环节并非技术，而是人和组织运作。网络攻击几乎总是利用可预测的人类行为。典型的暴露场景是员工在疲劳或压力下工作，此时容易忽略对邮件发件人真实性的核查。

此外，物理安全和组织流程也存在漏洞。例如，离职员工交还设备后，其可能保留的数据访问权限往往未被彻底清理。共同点在于，除了技术之外，首要缺乏的是有效的控制措施。

领导层责任与思维转变至关重要

叙克什德·彼得强调，法律上已明确规定，管理层的责任除了战略决策，还特别延伸至IT安全、业务连续性和事件处理。NIS2和DORA明确指出，管理层必须确保存在有效的IT安全计划、恢复能力计划、开展培训以及运行适当的报告和调查流程。这一责任不能完全下放。

塞凯尔·佐尔坦指出，实践中这需要真正的思维转变，但许多地方仍在等待。许多管理者仍将IT和IT安全视为成本，而非运营的基本前提。部分原因在于过去二十年信息技术持续发展，但企业文化未能跟上这一变化。如今，所有业务流程都终结于IT系统。

如果管理者不理解这一点，就会做出资金投入不足的决策，而风险却在持续增长。