匈牙利网络安全专家警告：合规压力下风险分析遭忽视，网络攻击威胁加剧

根据埃森哲（Accenture）与美国波耐蒙研究所（Ponemon Institute）2019年的预测，到2024年，全球企业因网络攻击可能损失的价值创造机会高达约5.2万亿美元。这一金额几乎相当于法国、意大利和西班牙三个主要欧洲经济体的国内生产总值（GDP）总和。

此外，去年报告的欧洲数据保护事件数量显著跃升：2025年欧洲平均每天报告443起事件，较前一年的日均365起增长了22%。

在此背景下，Tigra Zrt. 网络安全专家索利莫什·阿科什（Solymos Ákos）指出，匈牙利市场正显现令人担忧的趋势。他表示：“在NIS2指令合规压力下，信息保护和安全管理方法论的数十年基石——例如数据和信息资产清单、风险分析与风险管理——已明显被边缘化。尽管这些也是法规要求的一部分，但重点已不再是它们，而是勾选审计方法论问题。”

专家强调，客户和专家都倾向于偏离经典方法，常常过度简化地以非黑即白的方式看待组织的安全状况，导致只有少数组织能声称自己在持续、系统地评估威胁。

索利莫什·阿科什认为，典型的例外是NIS2指令范围内被视为至关重要的金融部门，以及部分能源部门，那里的监管环境和风险敞口早已迫使形成了这种意识。然而，在大多数组织中，根本没有形成风险识别、分析、评估和管理的成熟实践。

专家指出一个有趣的矛盾：尽管企业高管在调查中将网络事件列为最重要的风险之一，但在实践中往往并未给予足够重视。

这尤其危险，因为人工智能（AI）和网络犯罪，连同针对人为因素的攻击，构成了持续威胁：仅在2024年至2025年期间，网络犯罪分子就给匈牙利民众造成了近500亿福林的损失，单次攻击的成本有时甚至可能高达1000万福林。

尽管组织有义务向当局报告网络安全及相关数据保护事件，但统计数据显示，这方面的意愿非常低。

索利莫什·阿科什总结道：“领导者在风险分析时常常没有考虑到，事件发生时受损的不仅仅是受影响的信息资产元素。在计算成本和最终损失时，还必须考虑许多其他项目：罚款、损失利润、恢复成本，以及组织内外信任动摇后重建的代价。”

专家强调，长期来看，唯有有意识地应用风险管理才能确保组织实现最优的成本和资源利用。如果一家公司不了解自身尚可承受的风险水平，很容易在两个极端之间摇摆：要么在防护上花费不合理的高额费用，要么陷入虚假的安全感，并期望短期节省而削减防护成本。然而，这种策略最多只能维持到第一次重大事件发生之前，之后将不可避免地面对现实。

索利莫什·阿科什最后强调，为了防止网络事件造成的损害严重破坏组织运营，解决方案不是追求无法实现的100%安全，而是持续且有意识的风险管理。