2025年已經可以被認為是網路攻擊升級的分水嶺。人工智慧、自動化和相互關聯的全球網路的結合已將風險變成了幾乎不可避免的事情。隨著犯罪集團開始針對零售、服務提供者、關鍵基礎設施、健康和物流等高影響力目標,這種新的威脅格局已經勢頭強勁,不僅擴大了攻擊的範圍,而且還擴大了破壞的可能性。.
根據Check Point Research Technologies的數據,2025年第二季度,全球每個組織的平均網路攻擊達到每週1,984次。在拉丁美洲,進展迅速:每週2,803次攻擊,比去年增加了5%。去年,巴西集中了大部分事件。.
在該國,最具代表性的事件是對 Pix 中介公司 C&M Software 的攻擊,該攻擊被認為是有史以來針對巴西金融體系的最大攻擊事件。網路犯罪分子能夠購買第三方員工的憑證,存取該公司的系統並洩漏 392 GB 的資料。估計損失超過 $1 億蘭特,顯示鏈條中的人為故障和漏洞如何將事件轉化為金融危機。.
對 C&M Software 的攻擊並不是一個孤立的點。2025 年,其他攻擊也暴露了問題的全球層面。在英國,瑪莎百貨的支付和物流系統受到損害,導致停工、延誤和百萬富翁損失; salesforce 是全球最大的 SaaS 提供者之一,成為事件的目標,該事件暴露了敏感數據並中斷了多個國家多家中小企業的運營。在歐洲,醫院遭受了協同攻擊,這表明關鍵基礎設施仍然脆弱即使面對持續的警報。.
這些攻擊推斷出大公司和數位服務:羅浮宮博物館被盜,由於使用弱密碼,已成為人類脆弱性的象徵,作為攻擊媒介。在入侵日益複雜的一年裡,這恰恰是一個平庸的密碼暴露了世界上訪問量最大的機構之一。.
在交通運輸領域,針對航空公司 IT 服務提供者的攻擊在歐洲機場造成了混亂,導致大量延誤和取消。.
這些事件不僅有規模或技術水平的共同點。將它們結合在一起的是利用結構性弱點:對第三方的過度依賴、複雜的供應鏈、管理故障、遺留系統和安全控制不足。無論公司核心多麼強大,漏洞都可能來自外部。應考慮整個數位鏈,並優先考慮第三方治理。.
人們認為所使用的策略發生了明顯的質的演變:RaaS、資訊竊取者、深度偽造和人工智慧驅動的魚叉式網路釣魚使攻擊更加動態且難以檢測。鑑於這種情況,網路安全3更新的防毒軟體、配置的防火牆、備份和多因素身份驗證的基本原理仍然至關重要,但已經不夠了。策略回應需要鏈圖、持續風險評估、供應商盡職調查、審計和網路保險等風險轉移工具。.
答案不能再是被動的了。現在是巴西公司將網路安全視為策略重點的時候了。對於資訊長和 CISO 來說,現在需要採取具體行動。.
這一年也表明,預防還不夠。必須做好準備,不僅要製定良好的行動計劃,讓 IT 供應商和服務提供者參與(其中包括法律支援和溝通「OD」),還要做好該主題所需的財務準備。.
網路風險不再是IT問題,而是策略性業務問題。這已成為董事會層面的話題。忽視這項優先事項的組織面臨停機、嚴重的聲譽損害和相當大的財務損失。.
網路保險的角色正在從金融安全網路演變為策略風險管理合作夥伴。最成功的公司並不將保險視為僅在要求清單上標記的項目,而是將其視為復原力生態系統的一個組成部分。.
2025 年的遺產很簡單:網路安全不是成本,而是競爭力。將保護視為投資並認識到公司和供應商之間共同責任的組織將在 2026 年以更強的彈性跨越。.
* Marta Helena Schuh,巴西豪頓網路與科技保險總監
