英国政府发布的一份新报告指出，网络安全漏洞和攻击仍然是一个常见威胁，超过四成（43%）的企业报告称在过去12个月内遭遇过某种形式的网络安全漏洞或攻击。《2025年网络安全漏洞调查》指出，中型企业（70%）和大型企业（74%）的网络安全漏洞和攻击比例更高。虽然与2024年相比有所下降（当时有50%的企业报告了此类事件），但其规模之大表明，网络安全挑战依然严峻。值得注意的是，这种下降主要发生在微型和小型企业，这些企业报告的网络钓鱼攻击数量有所减少。然而，中型和大型企业的受害率持续居高不下，这表明规模和复杂性仍然是关键的风险因素。

《2025年网络安全漏洞调查》由英国科学、创新与技术部（DSIT）和内政部委托开展。该调查旨在反映英国网络弹性的演变状况，其数据来源于2024年8月至12月期间收集的定量数据和定性分析。 

这项研究由首席分析师Saman Rizvi（DSIT）和Eleanor Fordham（内政部）共同完成，展现了企业、慈善机构和教育机构如何应对持续不断的网络安全威胁。其核心在于深入了解英国企业在应对日益复杂的数字威胁环境中的微妙体验。研究结果将为政府战略提供参考，并为旨在创建安全可靠的网络空间的举措提供支持，使企业能够蓬勃发展，维护公众信心。

报告中的网络犯罪统计数据更清晰地展现了数字空间中的犯罪活动。到2025年，20%的企业至少遭受过一次网络犯罪，其中网络钓鱼攻击占绝大多数。然而，令人担忧的是勒索软件攻击的增多，其占比从2024年的不到0.5%翻了一番，达到2025年的1%，这意味着受影响的组织估计将达到1.9万家。

此外，重复受害率高得惊人，平均每家企业在过去一年中遭受 30 起网络犯罪（中位数为 4 起），凸显了这些威胁的持久性和无情性。 

从财务角度来看，网络犯罪（不包括网络钓鱼）的平均成本为每家企业990英镑，如果排除零成本响应，则上升至1970英镑。然而，网络欺诈（即违规行为导致欺诈活动的事件）带来的财务负担则要高得多，平均成本为5900英镑，如果排除零成本响应，则上升至10000英镑。

《2025 年网络安全漏洞调查》区分了网络安全漏洞和网络犯罪，后者根据 1990 年《计算机滥用法》进行了法律定义。这种区别至关重要，因为虽然所有网络犯罪都是漏洞，但并非所有漏洞都符合犯罪的法律标准。 

调查结果显示，网络钓鱼仍然是最常见的攻击形式，85% 的受影响企业将其视为主要的破坏源。人们也越来越担心这些攻击方法的复杂性，尤其是人工智能驱动的模拟技术的兴起，这些技术的检测和防御难度越来越大。

尽管遭受数据泄露后负面影响的组织比例相对稳定（企业为 16%，略高于 2024 年的 13%），但某些后果已变得更加明显。企业报告称，暂时无法访问网络的情况有所增加（7%，高于 4%），而慈善机构因无法访问第三方服务而面临的中断也随之增加（5%，高于 1%）。这些中断凸显了数据泄露不仅会影响技术系统，还会影响更广泛的运营依赖关系。

令人鼓舞的是，《2025年网络安全漏洞调查》显示，小型企业的网络卫生状况有所改善，尤其是在风险评估、网络保险、正式保单和连续性规划等领域的改进，表明其方法日趋成熟。例如，目前62%的小型企业拥有网络保险，较2024年的49%大幅增长。然而，这种进步并非普遍现象。高收入慈善机构的关键网络安全活动明显减少。 

正式战略（从 47% 下降到 39%）和供应商风险评估（从 36% 下降到 21%）的下降表明雄心和能力之间存在紧张关系，定性数据表明，这很可能是由预算限制引起的。

2025 年网络安全漏洞调查发现，大多数企业和慈善机构都实施了基本的技术控制，例如更新的恶意软件防护（77% 的企业）、密码策略（73% 的企业）、网络防火墙（72% 的企业）、通过云服务安全地备份数据（71% 的企业）和限制管理员权限（68% 的企业）。 

然而，采用更高级控制措施（例如双因素身份验证（40% 的企业）、用于远程员工连接的虚拟专用网络（31% 的企业）以及用户监控（30% 的企业））的企业比例仍然低于其他指标。大型企业的员工网络安全培训和意识提升活动更为普遍（76% 的企业，而整体企业的比例为 19%）。尽管近年来大型企业在这方面的比例持续上升，但 2025 年大型企业的比例仍与 2024 年持平（74%）。

《2025年网络安全漏洞调查》发现，总体而言，风险管理策略保持不变，29%的企业进行网络风险评估，与2024年的31%持平。然而，这种一致性背后隐藏着更深层次的差异。小型企业正在取得进展——目前有48%的企业进行风险评估，较去年的41%大幅上升。相比之下，高收入慈善机构则正朝着相反的方向发展。

报告指出，供应链漏洞仍然是一个盲点。只有14%的企业正式审查了其直接供应商带来的风险，而审查更广泛供应链的企业则更少。鉴于供应链漏洞日益增多的趋势，这种疏忽令人担忧，因为这些漏洞可能被用作更广泛的系统性攻击的载体。大型企业在这方面表现更好，这并不令人意外，这可能是由于其资源可用性和供应商生态系统的复杂性。报告还发现，网络安全保险的覆盖率总体有所增长，目前已覆盖45%的企业，但中小企业再次引领了这一积极变化。

报告还显示，董事会仍然是网络治理的关键领域，但其中也出现了一些令人担忧的趋势。尽管72%的企业仍将网络安全视为重中之重，但董事会层面的职责却有所下降。只有27%的企业表示有专门负责网络安全的董事会成员，低于2021年的38%。这一下降暗示着战略重要性与高管监督之间可能存在脱节，这种差距可能会对企业的长期韧性产生严重影响。

大型企业继续表现出更高的优先级，其中 96% 的企业将网络安全视为首要关注点，这反映出这些实体面临的风险更大，以及潜在的更强的监管和利益相关者压力。

《2025年英国网络安全漏洞调查》还指出，事件响应仍然主要侧重于内部，大多数组织（76%的企业）会向高层领导汇报漏洞。然而，外部汇报的情况却少得多，部分原因是缺乏明确的指导——只有三分之一的组织有文件明确何时以及如何向外部上报事件。规模较大的组织以及医疗卫生和金融等受监管行业的组织，在最佳实践事件响应方面表现得更为一致，并已制定了记录在案的程序和计划。 

发生违规行为后，最常见的预防措施是员工培训或沟通，这是一种低成本但有效的应对措施，反映了对网络安全中人为因素的理解。

Proofpoint 欧洲、中东和非洲地区网络安全策略师马特·库克 (Matt Cooke) 在一封电子邮件声明中评论《2025 年网络安全漏洞调查报告》时表示：“董事会层面对网络安全责任的下降趋势尤其令人担忧。网络安全不能被组织中的任何人视为事后诸葛亮，尤其是那些掌握着财政大权和业务重点的董事会成员。” 

库克补充说，之前的研究发现，首席信息安全官 (70%) 和董事会成员 (73%) 都认为，未来 12 个月内，重大网络攻击可能会对其组织产生影响，这凸显了如果网络安全没有得到充分重视，将会出现一个令人担忧的问题。

卡托网络公司首席安全策略师埃泰·马奥尔在一封电子邮件声明中写道：“2025年网络安全漏洞调查凸显了英国企业迫切需要加强网络防御，这并不令人意外——该调查凸显了安全监控和网络安全战略投资方面的潜在缺口。勒索软件攻击的日益盛行和网络钓鱼的持续威胁对企业构成了风险，因为攻击技术变得越来越复杂，尤其是在生成式人工智能领域，它们可以策划更具说服力的网络钓鱼活动。”

他补充说，尽管调查显示董事会层面对网络安全的责任下降趋势令人担忧，但领导层必须将网络风险视为核心业务问题。董事会应确保制定强有力的安全策略，包括专门针对勒索软件场景的事件响应计划。

“为了应对勒索软件的崛起，各组织机构应实施多层安全架构，将威胁情报源、启发式分析和高级机器学习相结合，以检测并阻止各个阶段的攻击，”Maor 表示。“这包括防止通过网络钓鱼进行的初始渗透，以及限制勒索软件在网络中的传播。”

总而言之，《2025年网络安全漏洞调查》强调，尽管某些领域正在取得进展，但网络钓鱼和勒索软件等不断演变的威胁以及不同类型组织之间的差异凸显了持续存在的漏洞。加强小型企业的网络卫生、推广官方指导和倡议、提升事件响应能力、鼓励透明报告、管理供应链风险以及增强董事会的网络知识，这些都是为英国构建更安全、更具韧性的网络环境的关键步骤。