2026 年度 CISO 预测报告

自 2021 年以来，Fortinet 每年底定期发布《全球威胁态势研究报告》，详细分析当年网络安全态势，并对下一年的演进趋势进行预测。今年，作为首席信息安全官（CISO）集体成员之一，我们还特别发布了《2026 年度 CISO 预测报告》。

以下是首席信息安全官（CISO）在 2026 年及未来预计需应对的一系列关键问题。

一、人工智能：推动创新，但哪些挑战与代价并存？

人工智能（AI）正深刻变革企业运营模式，不仅助力企业实现任务自动化，更重塑了决策制定和价值创造方式以及商业竞争格局。 AI 技术带来的变革性优势包括但不限于驱动各领域创新，并展现出无限潜力。以往，传统技术变革主要由 IT 部门主导，而新一代生成式人工智能（GenAI）技术正推动该技术的广泛应用，使制造、销售、财务等几乎所有部门均能自主掌控 AI 应用。各业务部门正积极运用 AI 提升运营效率，包括流程自动化、规模扩展、优化决策以及为客户打造个性化体验。

然而，这一变革也伴随着新的风险挑战 ：

1、 人工智能系统缺乏透明度 （存在"黑匣子"问题）

当前许多 AI 模型存在透明度不足问题，导致难以理解并解释系统决策背后的逻辑，可能引发问责机制和合规性方面的挑战。

2、 隐私保护与数据滥用风险

人工智能应用通常需将大型且敏感的数据库上传至云端 AI 系统。若团队缺乏充分的风险培训，可能导致敏感个人信息或知识产权泄露，引发隐私侵犯或违反数据监管规定的风险。

3、 安全漏洞

对抗性攻击： 通过对图像、文本、音频等输入数据进行细微但特定的修改，诱导 AI 模型产生错误的预测结果。
模型逆向与模型提取攻击： 通过查询目标模型，攻击者可能重构训练数据中的敏感信息或完整复制模型功能，典型案例包括从面部识别 AI 应用中提取特定人员的生物特征数据等。
数据投毒攻击： 通过恶意篡改训练数据集，诱导 AI 模型学习错误特征并产生存在偏差的预测结果。
大语言模型（LLM）提示词注入攻击： 通过在输入文本或网页内容中植入隐蔽指令，使 AI 系统绕过安全防护机制，可能导致其忽略既定安全规则或泄露敏感数据。
意外结果： 随着自主机器人、智能服务等 AI 智能体交互频率的持续提升，新型安全风险日渐显现，包括多个 AI 系统间的非预期协同合谋攻击、集群攻击以及新兴漏洞的连锁效应。这些新型威胁往往超出传统网络安全防护框架的应对范围。
身份识别和认证机制薄弱： 随着 AI 智能体应用的日益普及，多个 AI 代理无需人工干预即可通过相互查询实现自主决策，并执行目标导向行为。在此过程中，AI 代理非人类身份（NHI）的安全薄弱性日渐凸显，单一代理的身份认证缺陷可能引发连锁反应，导致敏感信息的非授权访问风险。

预测： 截至目前，已发生多起大语言模型（LLM）数据泄露事件。预计 2026 年，随着应用场景的持续扩展，接触敏感数据访问量的大幅增加，以及代理间通信缺乏身份验证机制等诸多因素的共同作用，此类泄露事件的数量和严重程度都将显著上升。

二、 AI 技术的恶意应用

本年度《全球威胁态势研究报告》将详细剖析 AI 技术在增强恶意软件和勒索软件攻击工具方面的应用，本文不再赘述相关内容。本报告重点阐述 AI 技术被恶意应用引发的风险及其对首席信息安全官（CISO）产生的影响。

1、 虚假信息与深度伪造服务威胁

在英国脱欧等重大事件中，虚假信息操纵行为已有诸多先例。当前，借助 OpenAI BALL-E 和Sora 2 等人工智能服务，人们可以轻易构建高度逼真的伪造音频、图像和视频内容，这些技术突破令虚假信息与真实内容几乎无法区分。

预测：深度伪造技术正重塑商业电子邮件泄露（BEC）和社交工程攻击的威胁格局。 最新监测显示，2024 至 2025 年间，AI 生成的网络钓鱼邮件已实现质的飞跃 ------ 这些虚假邮件不仅结构严谨、用语专业，更能针对特定目标进行个性化定制，传统识别方法逐渐失效。值得警惕的是，基于深度伪造的音频/视频合成技术，冒用高管身份实施欺诈的手段变得更为隐蔽和高效。

当前勒索攻击中已出现应用 AI 生成音频的案例。预计 2026 年，企业将面临 AI 生成的音频和视频内容在商业电子邮件泄露（BEC）、钓鱼攻击等针对性攻击场景中的大规模滥用。 鉴于仅基于文本的攻击已造成数十亿美元损失。根据当前 AI 伪造技术的发展态势，可预见，若攻击者具备通过深度伪造 CEO 声纹及视频影像实施转账欺诈的能力，受害者的相关经济损失预计将呈现指数级增长。

Fortinet 最新预测显示，未来 12 个月内商业电子邮件泄露（BEC）及相关欺诈案件将呈现涉案金额大幅攀升态势，并可能出现多起针对高价值目标的重大攻击事件。

三、 太空：人类探索的最后疆域

1、 GPS 干扰

过去 40 年间，GPS 技术已广泛应用于船舶、汽车和飞机导航，以及电话通信、武器系统、电网管理和工业控制等关键领域。这种广泛依赖使 GPS 设备成为冲突地区的重点攻击目标。恶意行为者通过信号干扰阻断真实信号接收或发送虚假 GPS 信号实施攻击，最终令弹药失效，恶意操控无人机和导弹航向，迫使飞机误入敌方空域无法正常降落，并显著降低 IT 系统及其他基础设施的运行效能。

预测： 相关网络攻击活动将持续存在。对多数机构而言，这类威胁风险较低，但运输物流等依赖定位信息的行业则面临更高风险。而对航空公司、航运企业而言，这将构成重大安全风险。为应对此类威胁，相关行业需采取预防性措施，包括:强化接收设备性能、加强信号过滤技术、建立多重信息验证机制，以及为自动辅助驾驶系统设置安全锁定功能，以防止因定位或时间信号突发异常而影响飞机导航与着陆能力，避免可能引发的重大事故。

2、 卫星通信应用日渐普及

曾几何时，我们搭乘飞机或徒步旅行时还能享受纯粹的宁静。如今卫星技术和互联网日渐普及，这些新兴科技在带来便利的同时，也不可避免地伴随着发展初期的各种挑战。

加州大学圣地亚哥分校和马里兰大学的科研团队最新研究发现，仅需一台价值 800 美元的简易卫星接收设备，就能截获通过卫星传输的未加密数据，包括通话内容、短信信息，以及商业机构、政府部门乃至军事单位的内部通信内容。

预测： 与所有快速发展的新技术一样，当前阶段仍存在一些亟待解决的难题。因此，采取额外防护措施至关重要，包括增设 IPsec 加密等安全防护层，以有效预防潜在的安全漏洞风险。

四、 网络安全技能

1、 关键网络安全技能

过去三年间，网络安全人才短缺一直是全球首席信息安全官（CISO）最关注的核心问题。为应对这一严峻挑战，Fortinet 持续推动全球网安人才培养，计划于 2026 年底前完成 100 万人的网安领域专业人才培训目标。 目前，该项目正在稳步推进并取得积极进展。

然而，Fortinet 发布的《2025年网络安全技能差距报告》显示，企业目前仍面临多个问题：

IT 管理者表示，遭遇入侵的主要原因是缺乏安全意识****（56%）**** 以及缺乏 IT 安全技能和培训****（54%）**** 。
49% 的管理者认为，董事会成员尚未意识到使用 AI 可能引发的安全风险。

最新数据显示，89% 的受访企业更倾向于聘用持有专业认证的技能人才，这充分表明积极参与 Fortinet NSE 网络安全认证培训具有重要价值！

预测： 当前，首席信息安全官（CISO）在董事会中的战略地位已提升至前所未有的高度。我们的职责并非制造恐慌或持续发出警告，而是清晰阐明人工智能等新兴技术带来的商业价值及潜在业务风险，支持董事会准确评估并确定企业的风险承受能力。

当前，网络安全在董事会层面的重要性显著提升，这一积极转变为首席信息安全官（CISO）带来了可喜变化：越来越多的 CISO 直接进入董事会任职，这一趋势不仅体现了网络安全战略价值的提升，同时也为董事会带来了更专业的安全治理视角和更丰富的决策经验。

2、 下一代安全专家

Z 世代（1997-2012 年出生的群体）现已成为职场主力，而阿尔法世代（2013-2029 年出生的群体）也将在未来几年陆续进入就业市场。这两代人都是伴随着 iPad、Instagram、Snapchat 和 TikTok 等数字产品成长起来的第一代数字原住民。

当前和未来的员工并不习惯使用电子邮件等"企业"技术。成长于数字时代的新生代员工，受 TikTok、YouTube和Instagram 等社交平台影响，虽身处信息爆炸的环境，但注意力稀缺，因此，我们必须调整招聘、培训乃至整体工作方式。更严峻的是，人工智能正以惊人速度取代过去应届毕业生积累经验的初级岗位，这将导致他们失去晋升高级职位的跳板。

若未能及时适应数字时代变革，我们将面临剥夺下一代网络安全专业人员发展机会的风险。

预测： 人工智能应用能力将很快从专业技能转变为基础素养。为确保未来劳动力适应 AI 主导的工作环境，必须将 AI 教育纳入各级教育课程体系。随着传统入门级岗位的转型或消失，掌握 AI 应用与安全防护知识的人才将获得显著竞争优势。若教育机构和企业不能及时调整培养体系，或将导致新一代网络安全人才出现断层。

五、 合规要求与数据隐私保护压力

近年来，欧盟相继推出 NIS2 指令、网络弹性法案（CRA）和数字运营弹性法案（DORA）等监管框架，显著强化了跨行业网络安全和数字信任标准。这一监管趋势不仅限于欧盟地区：美国联邦政府已强制实施 CMMC 认证要求，巴西颁布《Anatel 法案》，英国推行《电信安全法》，此外还包括日本的 ISMAP、澳大利亚的 iRAP，以及美国的 GovRAMP 和 FedRAMP 等认证体系。这些举措共同体现了加强网络安全和数字信任的全球监管趋势。

这些法规均旨在提升基础安全标准，强化软硬件供应商责任，保障网络威胁下的业务连续性。众多法规的及时出台为数字生态系统建立统一安全规范的同时，也显著增加了企业的合规压力。组织必须加大治理体系、风险管控和供应链安全投入，严格执行更严苛的漏洞披露和风险评估时限要求。这一转变标志着网络安全从自愿性最佳实践正式进入强制性法律规范阶段，虽然推高了合规透明度和合规成本，但有效促进了更安全、更可靠的数字基础设施市场转型。

预测：未能及时满足合规要求的组织将面临严厉处罚，情节严重者最高可处其全球年收入 10% 的罚款 。虽然各项法规实施初期预计不会立即开具高额处罚，但预计 2026 年全球政府机构将严处重大违规行为，并开出巨额罚单。

虽然各类安全标准有助于推广最佳实践，但全球各地区标准的分散化导致大量重复性合规工作，特别是当多数标准实质上均检测相同安全控制措施时，组织合规压力骤然提升。我们期待 2026 年各国政府和机构能够有效推动更多国际合作，有效遏制标准碎片化趋势，促进现有认证体系的国际互认。

六、 量子危机

量子计算作为新兴技术确实给首席信息安全官（CISO）带来了独特的安全规划挑战。这项技术的复杂性远超现有传统技术，尽管当前尚不存在能够破解现有加密体系的实用级量子计算机（预计至少还需十年研发周期），但技术突飞猛进的可能性始终存在，这要求安全团队必须提前做好应对准备。

虽然量子计算威胁尚未迫在眉睫，但网络攻击者可能采用"先窃取后解密"的新型攻击模式。这种威胁态势凸显出，必须立即着手推进抗量子加密升级工作，以防未来量子计算机成熟后，现行加密标准保护的历史敏感数据遭到破译。

任何曾向董事会或 CEO 提交预算申请的安全管理者均深有体会 ------ 为量子安全这种技术复杂且风险周期长的项目争取资金支持极具挑战性，尽管这项投入对企业的每个业务环节都至关重要。

预测： 这不仅是预测更是当务之急，企业应立即在采购流程中纳入量子安全标准要求，确保当前所有采购项目都具备量子防护能力 ，而非等到风险迫近时才采取行动。

七、 首席弹性官已悄然登场！

首席信息安全官（CISO）头衔中的"信息安全"，让人们对该职务职能的理解出现认知偏差。实际上，CISO 日常工作的核心是业务赋能，即在确保安全可控的前提下推动业务转型创新，必要时根据业务需求进行风险权衡。但最根本的职责在于保障业务连续性，这点常被忽视。虽然业务持续运营与安全无直接关联，却恰恰是 CISO 最重要的职能之一。

大型企业日均面临数十万次网络攻击，攻击者仅需成功一次即可造成破坏。因此，企业需构建多层防御体系，实施关键网络分段隔离，并制定完善的应急响应预案 ------ 这三项关键举措构成了现代企业网络安全防护的牢固基石。

2025 年已发生多起因安全事件导致企业运营中断的案例。因此，首席信息安全官（CISO）必须明确识别维持组织运转的最小可用商业（MVB），将保障该核心业务连续性作为最高优先级任务。 要想确保持续创造价值，我们必须建立"最坏情况必然发生"的思维模式，全力构建在灾难性事件中仍能维持关键业务运营的弹性能力。

忽略您名片上的头衔名称（如果您依然担任该职务）。我们都必须成为首席弹性官（CRO）。

预测： 在人工智能简化侦查手段、网络犯罪即服务持续蔓延以及国家支持的网络活动加剧的共同作用下，2026 年针对跨国巨头的数十亿美元级网络攻击将持续发生。

实际上，我认为头衔名称的变更不会在 2026 年成为主流（坦白讲，我喜欢 CISO 这个荣誉头衔）。但无论如何，首席信息安全官（CISO）都必须提前做好三件事：建立系统性容灾预案、深度参与组织基础设施建设、全力构建业务连续性方案。具体包括：界定维持基本运营所需的最小可用商业（MVB）、开展预案实操测试，以及定期组织应急推演。

八、 弹性之年：2026 年 CISO重点关注任务和趋势

2026 年将全面检验我们对防御体系、恢复能力和适应机制等方面的现有认知和预测。 当前变革进程持续加速 ------ 人工智能已演变为攻防双刃剑，IT 风险与业务风险的界限已完全消失。

首席信息安全官（CISO）应凝心聚力开展以下关键举措：

首要构建高度弹性体系。 秉持"中断必然发生"理念，重点投资于业务连续性建设、网络隔离防护和灾难恢复准备。
将 AI 视为需严格治理的能力而非捷径。 运用 AI 提升威胁检测与响应效能时，必须以保护其他关键系统的同等标准，严格管控模型、数据及访问权限。
全面强化身份安全体 系。随着人类用户和机器智能体的激增，必须对所有非人类身份实施持续验证和严格防护。
加强部门协作。 打破安全团队、运维部门与管理层之间的信息孤岛。业务韧性的建立依赖于共识达成与协同响应机制。
保持持续学习与动态适应能力。 网络威胁方的技术迭代速度与科技发展同步，这意味着持续性的知识更新和攻防演练已成为现代安全体系的核心必修课。

首席信息安全官（CISO）的职能范围与战略重要性已达历史峰值。2026 年，成功将属于那些兼具技术深度与战略视野的管理者，在他们的引领下，安全职能将从被动响应转变为推动业务弹性、建立数字信任和促进企业增长的核心驱动力。