人工智能这回成了英国关键基础设施网络安全的最大克星。专注于运营技术的网络安全公司Bridewell刚出的报告显示,这个威胁直接冲到了安全威胁榜单的第一名。数据给出了39%,说明相当多的组织把这事儿当回事儿了。同一份《2026年关键国家基础设施网络安全报告》里说,大家其实挺爱用AI的,36%的受访组织用它来自动应付突发事件,35%的用它帮忙找威胁。这是市场调研公司Censuswide搞出来的调查,把话问了问600名搞网络安全的人。这些人可都是那些提供关键国家基础设施服务的单位里的,像中央政府、民航、能源、金融、铁路和供水这些行当。Bridewell的首席技术官Martin Riley讲得挺实在:"AI现在是现代网络防御的核心。要是你不用AI来加速检测和响应,就等着落后吧。攻击者都在用AI攻击你了。"他还提到一个有意思的观点:2026年的挑战不是要不要用AI,而是怎么管好它。Bridewell首席执行官Anthony Young也凑热闹:"现在的AI就像云计算刚开始那会儿。功能强而且到处都在用,但往往跑得比那些想保护它的控制措施还要快。组织得拿这东西和现在对云和数字基础设施一样上心才行。"在发布会前Young也强调过:"运营技术总是比IT行业落后5到10年。从安全控制角度看,我们在OT这块儿还是落后IT的水平。"Riley也吐槽说:"我们在工业控制系统里遇到的大问题是弄不清自己有啥资产。很多组织没钱去买那种能解决问题的工具。"他还举了个例子:"你要是去问任何一个ICS工程师那个安全仪表系统是咋工作的,他们能跟你说得头头是道,但问他们背后连的啥网、多少设备接在上面就傻眼了。要想在OT里安全地搞这一套,得有能监听网络的工具。然后这就变成个数据挑战了。"Riley说他带团队搞AI研发都快三年半了:"不过我得说实话,也就这过去12个月里才真正看到了一个拐点,AI才对企业和生产真正有了价值。" 这个报告还讲了英国关键基础设施受网络攻击的情况有多惨:93%的组织说自己去年挨了招。研究发现很多攻击都让能源、金融、交通和政府这些部门停摆了。有一半的受访单位报告说网络安全事故后头跟着IT故障或停机,有三分之一的单位说因为这事儿亏了钱。网络钓鱼和商业电子邮件攻击依然是最普遍的招数:组织平均每年要遭遇11次这种钓鱼邮件或商业电子邮件攻击;其次是恶意软件攻击,平均每年8次。数据保护和隐私还是43%的关键国家基础设施组织最操心的事。 研究还表明监管现在成了安全开销的大头。35%的受访单位把监管要求当成了主要推动因素;这比起2025年的26%可是多了不少。不过真要落实这些法规还是差点意思:只有46%的单位符合国家网络安全中心的评估框架;只有29%的人说他们用上了欧盟的NIS2指令;54%的人说自己符合政府的基础认证计划。Young最后还补充道:"光有框架是不够的。"Riley在声明里也总结了下:"现在攻击者下手比以前快多了。几分钟就能从进门偷数据搞定。"他给大家支了一招:"成功的单位就是能更快发现、更快应对、也能管好AI这种新玩意儿的单位。"