数字生态体系集中化所带来的风险将是企业在2025年面临的主要挑战之一。2024年,技术失误导致的CrowdStrike全球蓝屏宕机事件造成了约52亿美元损失。2025年,潜在的蓄意网络攻击可能带来更具灾难性的后果。
相关技术服务集中在少数主要供应商手中,这将加剧系统性风险和全球技术中断威胁。此外,关键基础设施和消费产品中互联及自动化部件的普及也将为破坏性攻击创造新的漏洞。全新的数字安全威胁形势已经在适应性、创新性、韧性等多方面给企业的运营管控模式提出了新的要求。
2025年,三大因素将推动数字生态体系集中化的风险上行。
第一,国家威胁行为体行动意愿增强。在俄乌冲突和中东紧张局势持续的背景下,国家行为体正逐渐打破过去在数字空间领域内的行为准则。2025年,随着地缘红线模糊化趋势下的“越线”行动加剧,国家行为体将会继续针对关键基础设施和技术供应商发起系统性的网络破坏行动,以在军事、政治和经济上占得优势。另一值得注意的趋势是,部分国家行为体在2025年可能放弃使用代理团体,转而直接展开攻击行动,这将进一步导致数字空间内的对抗升级。
第二,重点目标防御力脆弱。数字生态体系的关键组件往往是网络破坏行为的天然目标。集中式的云服务将为那些胆大妄为、又善于投机取巧的威胁行为体带来巨大利益。脆弱的技术栈如被开发利用,如软件供应链攻击和更新投毒,将能够绕过绝大多数防御机制。此外,技术民主化趋势虽有助于推动人工智能和工业机器人等新兴技术的普及并降低应用成本,但也会使生产、开发和部署更多集中在少数全球供应商手中,从根本上加剧数字集中化的风险。再者,集中化数字生态体系的设计者和所有者无意与竞争对手进行交叉兼容。缺乏兼容性的数字体系、基础设施和应用程序会导致恢复成本大幅上升,令大多数组织难以承受,也为2025年技术中断风险的上升创造机会。
第三,政府应对乏力。全球多数国家政府已经意识到集中化的数字生态体系给社会带来的系统性风险,但尚未能实现有效应对。欧盟实施了《网络和信息系统指令》(NIS2)和《数字运营韧性法案》(DORA),要求企业切实管理自身和供应商的数字韧性。美国也颁布了类似的指导方针。但事实证明,相关努力依然未能有效降低数字生态体系集中化给大部分企业所带来的风险,甚至反向助长了关键技术开发向全球少数企业倾斜的趋势,并削弱了企业通过多元化供应商来构建韧性的能力。虽然一些监管机构呼吁将这些供应商进行拆分,但实际实施的可能性极低。
企业影响
数字生态体系集中化使企业失去了对最关键资产的控制:仅有少数公司有能力保护自身的网络系统,而有能力应对关键技术依赖挑战的公司更是凤毛麟角。在数字空间内,威胁行为体不再受过往不成文规范的约束,行动愈发无所忌惮。企业需为应对未来数年内全球性的信息技术故障做好准备,敏捷性和韧性将成为缓释风险、降低影响的关键。