英國網(wǎng)絡犯罪3年暴漲88%，新法案讓企業(yè)進退兩難

2020年，英國警方還能勉強應付77萬起網(wǎng)絡犯罪報案。三年后，這個數(shù)字飆到146萬，漲幅88%。同期負責辦案的人員只增加了31%。

用產(chǎn)品經(jīng)理的話說，這是典型的"需求膨脹速度遠超產(chǎn)能爬坡"。每個警員的案頭，現(xiàn)在堆著三年前2倍的工作量。

88% vs 31%：一組被忽視的供需失衡

Forbes Solicitors的最新數(shù)據(jù)把這個缺口擺上了臺面。該律所專門處理高關注度刑事案件，他們的客戶名單里 increasingly 出現(xiàn)被黑客勒索的企業(yè)高管。

Craig MacKenzie，F(xiàn)orbes Solicitors高關注度與私人犯罪業(yè)務負責人，用一句話概括了現(xiàn)狀：「網(wǎng)絡犯罪增速是警力增速的3倍。」

這不是簡單的"人手不夠"。當報案量與辦案能力的剪刀差持續(xù)擴大，一個連鎖反應正在發(fā)生：案件積壓→破案率下降→犯罪成本降低→更多人鋌而走險。MacKenzie的觀察是，「這種失衡正在削弱執(zhí)法部門的威懾力。」

對企業(yè)來說，這意味著什么？報警后的等待時間變長，取證窗口期被壓縮，最終追回損失的概率下滑。

新法案的"合規(guī)陷阱"：付贖金可能違法

警力吃緊的同時，監(jiān)管層面卻在加碼。英國議會正在推進兩項立法：《網(wǎng)絡安全與韌性法案》預計今年通過，另一項針對勒索軟件支付的新規(guī)也在醞釀中。

MacKenzie透露，政府正在考慮「禁止并阻止勒索軟件付款」。這條如果落地，企業(yè)將面臨一個經(jīng)典的兩難：付贖金，可能觸犯新法；不付，業(yè)務停擺的損失誰來扛？

他把這個局面稱為「合規(guī)陷阱」。「企業(yè)高管，尤其是董事，發(fā)現(xiàn)自己夾在運營連續(xù)性的壓力和潛在的法律風險之間。」

這個表述值得細品。不是"困境"，不是"挑戰(zhàn)"，是"陷阱"——意味著無論往哪邊走，都可能踩雷。

董事個人責任：從"公司損失"到"個人刑責"

英國公司治理的一個特點是，董事的法律責任邊界相對清晰。但新法案可能改寫游戲規(guī)則。

MacKenzie的警告很直接：如果支付勒索款項被認定為資助犯罪組織，董事面臨的就不只是民事賠償，而是刑事指控。英國《2006年公司法》第174條要求董事行使合理謹慎、技能和勤勉，而"明知違法仍授權付款"很難通過這個測試。

更微妙的是時間差。法案從提出到通過有時間窗口，但攻擊者不會等企業(yè)理順合規(guī)流程。2024年英國企業(yè)報告的勒索攻擊中，平均決策時間只有72小時——從收到勒索信到系統(tǒng)全面癱瘓。

72小時里，法務、IT、高管、董事會要達成一致，還要評估新法的模糊地帶。這個流程設計本身就有bug。

3倍增速背后的結構性問題

回到那個3倍的數(shù)字。網(wǎng)絡犯罪增速遠超警力增長，不是一個國家的問題。美國FBI的互聯(lián)網(wǎng)犯罪投訴中心（IC3）2023年報告也顯示類似趨勢：投訴量十年增長400%，而特工編制增長不到15%。

但英國的獨特之處在于，它正在用立法手段強行改變市場行為——限制贖金支付，同時沒有同步增加執(zhí)法資源。這就像關掉泄洪閘卻不加固堤壩。

MacKenzie的建議分兩層：對外，企業(yè)需要「超越基礎合規(guī)」的網(wǎng)絡安全投入；對內(nèi)，董事會要把勒索響應寫進預案，明確"付還是不付"的決策鏈，而不是等攻擊發(fā)生后再開會。

他特別提到一個細節(jié)：很多企業(yè)的網(wǎng)絡保險條款正在收緊，部分險種已經(jīng)開始排除"政府認定為非法的支付行為"。保險這條后路，也在變窄。

英國政府今年2月承諾投入2.1億英鎊用于新的網(wǎng)絡行動計劃，承認"網(wǎng)絡風險仍處于極高水平"。但這筆錢主要流向關鍵基礎設施，普通企業(yè)不在覆蓋范圍內(nèi)。

當146萬起報案分攤到有限的警力池，當新法案把支付贖金的風險從公司賬上轉移到董事個人，企業(yè)安全負責人的KPI該怎么設？是把預算砸向防御，還是留一筆"應急合規(guī)基金"？