2020年,英国警方还能勉强应付77万起网络犯罪报案。三年后,这个数字飙到146万,涨幅88%。同期负责办案的人员只增加了31%。
用产品经理的话说,这是典型的"需求膨胀速度远超产能爬坡"。每个警员的案头,现在堆着三年前2倍的工作量。
88% vs 31%:一组被忽视的供需失衡
Forbes Solicitors的最新数据把这个缺口摆上了台面。该律所专门处理高关注度刑事案件,他们的客户名单里 increasingly 出现被黑客勒索的企业高管。
Craig MacKenzie,Forbes Solicitors高关注度与私人犯罪业务负责人,用一句话概括了现状:「网络犯罪增速是警力增速的3倍。」
这不是简单的"人手不够"。当报案量与办案能力的剪刀差持续扩大,一个连锁反应正在发生:案件积压→破案率下降→犯罪成本降低→更多人铤而走险。MacKenzie的观察是,「这种失衡正在削弱执法部门的威慑力。」
对企业来说,这意味着什么?报警后的等待时间变长,取证窗口期被压缩,最终追回损失的概率下滑。
新法案的"合规陷阱":付赎金可能违法
警力吃紧的同时,监管层面却在加码。英国议会正在推进两项立法:《网络安全与韧性法案》预计今年通过,另一项针对勒索软件支付的新规也在酝酿中。
MacKenzie透露,政府正在考虑「禁止并阻止勒索软件付款」。这条如果落地,企业将面临一个经典的两难:付赎金,可能触犯新法;不付,业务停摆的损失谁来扛?
他把这个局面称为「合规陷阱」。「企业高管,尤其是董事,发现自己夹在运营连续性的压力和潜在的法律风险之间。」
这个表述值得细品。不是"困境",不是"挑战",是"陷阱"——意味着无论往哪边走,都可能踩雷。
董事个人责任:从"公司损失"到"个人刑责"
英国公司治理的一个特点是,董事的法律责任边界相对清晰。但新法案可能改写游戏规则。
MacKenzie的警告很直接:如果支付勒索款项被认定为资助犯罪组织,董事面临的就不只是民事赔偿,而是刑事指控。英国《2006年公司法》第174条要求董事行使合理谨慎、技能和勤勉,而"明知违法仍授权付款"很难通过这个测试。
更微妙的是时间差。法案从提出到通过有时间窗口,但攻击者不会等企业理顺合规流程。2024年英国企业报告的勒索攻击中,平均决策时间只有72小时——从收到勒索信到系统全面瘫痪。
72小时里,法务、IT、高管、董事会要达成一致,还要评估新法的模糊地带。这个流程设计本身就有bug。
3倍增速背后的结构性问题
回到那个3倍的数字。网络犯罪增速远超警力增长,不是一个国家的问题。美国FBI的互联网犯罪投诉中心(IC3)2023年报告也显示类似趋势:投诉量十年增长400%,而特工编制增长不到15%。
但英国的独特之处在于,它正在用立法手段强行改变市场行为——限制赎金支付,同时没有同步增加执法资源。这就像关掉泄洪闸却不加固堤坝。
MacKenzie的建议分两层:对外,企业需要「超越基础合规」的网络安全投入;对内,董事会要把勒索响应写进预案,明确"付还是不付"的决策链,而不是等攻击发生后再开会。
他特别提到一个细节:很多企业的网络保险条款正在收紧,部分险种已经开始排除"政府认定为非法的支付行为"。保险这条后路,也在变窄。
英国政府今年2月承诺投入2.1亿英镑用于新的网络行动计划,承认"网络风险仍处于极高水平"。但这笔钱主要流向关键基础设施,普通企业不在覆盖范围内。
当146万起报案分摊到有限的警力池,当新法案把支付赎金的风险从公司账上转移到董事个人,企业安全负责人的KPI该怎么设?是把预算砸向防御,还是留一笔"应急合规基金"?
热门跟贴