7月30日,2022全球数字经济大会数字安全峰会暨第十届互联网安全大会(ISC 2022)开幕式在北京举行。会上,360集团副总裁、首席安全官杜跃进发布了由360天枢智库牵头,中国中小企业协会、大数据协同安全技术国家工程研究中心、中国工业互联网研究院指导撰写的《2022中小微企业数字安全报告》(下称《报告》)。
论坛现场
《报告》显示,在受访的142家国内中小微企业中,85.3%遇到过数字安全问题,近77.4%的中小微企业反馈其自身不能有效处置数字安全问题。在过去一年中,我国中小微企业遭遇的最具破坏性的数字攻击威胁分别是恶意软件入侵、勒索攻击、系统漏洞和网络钓鱼。
1
超九成中小微企业面临严峻数字安全威胁
“我们走访了数百家中小微企业,基于此前发布过的千万级用户的数据情况,综合国际各大研究机构有关中小微企业安全的研究报告,完成了这份报告。”杜跃进在介绍《报告》背景时这样说道。
为何要关注中小微企业的数字安全问题?《报告》显示,中小微企业贡献了我国50%以上的税收、60%以上的GDP、70%以上的技术创新、80%以上的城镇劳动就业、90%以上的企业数量,其对国家经济和社会发展有着十分关键的作用。
然而,杜跃进表示,中小微企业的数字安全问题却很少受到关注。在调研的 142家国内中小微企业中,85.3%的企业遇到过数字安全问题,并且比以前遭受的网络攻击次数多;近77.4%的中小微企业反馈其自身不能有效处置数字安全问题。目前,我国有超过九成(92.3%)中小微企业面临非常严峻的数字安全威胁。
面对如此严峻的数字安全危机,中小微企业对未来安全的态度如何?根据《报告》,81%的受访者认为其领导的中小微企业会在现在或不久的将来遭到黑客攻击,对未来防御网络攻击持悲观态度;而认为不会遭到黑客攻击的仅占19%。
在我国中小微企业面临的数字攻击威胁种类方面,《报告》指出,其正面对高级别、复杂的网络攻击。在过去12个月中,针对我国中小微企业最具破坏性的数字攻击威胁分别是恶意软件入侵(68%)、勒索攻击(65.3%)、系统漏洞(64%)和网络钓鱼(42.7%)。值得一提的是,勒索攻击、网络钓鱼和恶意软件也已成为全球中小微企业最具威胁的数字攻击。
据统计,28%的美国中小微企业认为供应链攻击已成为主要威胁之一。在我国,76.9%的中小微企业受访者认为未来因合作方发生网络安全事件会引发其自身安全风险增加,并且有12.8%的受访者经历过因合作方所引起的网络攻击和数据泄露事件。超一半受访者表示会把安全风险评估做为交易与否的主要决定因素。
至于网络攻击可能带来的后果,《报告》显示,由于担心被取消相应认证资格或失去客户机会,36%的受访中小微企业最担心“不符合合规要求”;其次有34.7%的受访者担心遭到黑客组织数字攻击而导致其业务中断;另外,分别有33.3%和28%的受访者担心重要信息丢失和敏感数据泄露,13.3%担心资金损失。
中小微企业数字安全能力普遍不足的重要原因之一是资金缺乏。《报告》披露的数据显示,60%的受访者在数字安全方面的年投入不超过10万元,12%的受访者表示尽管认同数字安全的重要性,但是没有数字安全预算;20%的受访者表示能接受的数字安全投入不能超过十万。
2
通过“低成本模式”让中小微企业重视数字安全
去年12月,工业和信息化部发布通报称其收到报告,发现阿帕奇Log4j2组件存在严重安全漏洞。其后,阿里云计算有限公司回应称早期发现该漏洞时未意识到其严重性,未及时共享漏洞信息,未来将强化漏洞报告管理。
据报道,2020年,黑客利用太阳风公司(SolarWinds)的网管软件漏洞,攻陷了多个美国联邦机构及财富500强企业网络。其后美国政府确认国务院、五角大楼、国土安全部、商务部、财政部、国家核安全委员会等多个政府部门遭入侵。
《报告》推测,上述数据安全事件让中小微企业意识到了攻击的严重后果,加上国家为中小微企业在多个重大规划和报告中提供指导,其对数字安全的关注度在提升,开展中小微企业数字安全建设迫在眉睫。
杜跃进在会上表示,随着数字安全问题趋复杂,中小微企业和大企业之间数字安全实践的差距正在拉大,传统安全方案无法满足中小微企业数字安全需求。具体体现在中小微企业的数字化业务场景、数字安全预算、安全能力提升、应急响应等方面。
不仅如此,他强调,中小微企业数字安全发展水平在全国各地也差异极大,总体发展不均衡。其中北京、广州、上海、深圳等发达城市数字安全发展指数明显高于其他地区。
那么,面对当下复杂多变的数字安全挑战,中小微企业应如何提高数字安全能力?为此,《报告》总结了五条应对要点。
一是“管用”。中小微企业需要采用能力思维,以实战为目标,从产品主导转向能力主导的数字安全建设,包括能力意识、能力积累、能力提升、能力输出、能力验证。二是“便宜”,通过“低成本模式”提升中小微企业对数字安全的理解和重视,帮助这些企业在数字化转型中挽回损失,消除商业风险和负面影响。
三是“好用”。由于中小微企业数字体系存在分布式部署的特点,通过SaaS服务(指通过网络提供软件服务)采用中小微企业数字安全“云上赋能”的模式,保障数字安全能力的灵活部署和可定制化。四是“有侧重”,中小微企业的数字安全建设不采取大而全的建设模式,要避免“蜂拥而上”的全面铺开建设,将有限的资源投入到最迫切的数字安全能力上,逐步分期开展数字安全体系建设。
五是“有诉求”。中小微企业数字安全能力的持续提升要求数字安全服务提供商能够持续赋能中小微企业,数字安全服务提供商需要在提供安全服务的同时,不断完善覆盖中小微企业数字环境的安全大脑体系,从而帮助中小微企业持续的、安全的推进数字化进程。
采写:南都记者樊文扬
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。