“當(dāng)前,中小微企業(yè)正面臨嚴(yán)峻數(shù)字安全風(fēng)險,成為數(shù)字安全的重災(zāi)區(qū)和數(shù)字安全屏障的短板?!?022年6月9日,中國中小企業(yè)協(xié)會聯(lián)合三六零(股票代碼:601360.SH,以下簡稱360)天樞智庫,發(fā)布了首份《中小微企業(yè)數(shù)字安全報告(2022年)【公開意見征集版】》(以下簡稱“報告”)。 360集團(tuán)副總裁、首席安全官杜躍進(jìn)博士表示,通過走訪調(diào)查發(fā)現(xiàn),近半數(shù)中小微企業(yè)去年遭受過網(wǎng)絡(luò)攻擊,超9成企業(yè)遭受攻擊后無法完全解決問題。
杜躍進(jìn)表示,中小微企業(yè)的安全問題可引發(fā)供應(yīng)鏈安全問題,因此其數(shù)字安全建設(shè)更需要以能力為導(dǎo)向,以“低成本模式”提供SaaS化服務(wù),聚焦關(guān)鍵風(fēng)險,實(shí)現(xiàn)持續(xù)賦能,才能更好地應(yīng)對不斷升級的數(shù)字安全挑戰(zhàn)。
疫情迫使企業(yè)快速適應(yīng)數(shù)字化引發(fā)安全新挑戰(zhàn)
報告顯示,疫情加速了中小微企業(yè)數(shù)字化轉(zhuǎn)型。疫情初期,利用數(shù)字技術(shù)的企業(yè)比例為31%,疫情暴發(fā)后7至12個月內(nèi),這一數(shù)據(jù)便上升到44%,而對數(shù)字解決方案進(jìn)行新增投資的企業(yè)比例也從17%增加到29%。
但此時安全風(fēng)險也開始遍布所有數(shù)字化場景,帶來了全新的數(shù)字安全挑戰(zhàn)。報告指出,由于對數(shù)字安全重視程度不夠,中小微企業(yè)在享受數(shù)字化轉(zhuǎn)型帶來的紅利的同時,也面臨著數(shù)字安全風(fēng)險:一是尚未充分認(rèn)識到數(shù)字
安全帶來的嚴(yán)重影響,二是普遍缺乏應(yīng)對數(shù)字安全風(fēng)險的安全能力,長此以往將嚴(yán)重受制于數(shù)字安全“短板”。
超8成勒索攻擊針對中小微企業(yè)
事實(shí)上,中小微企業(yè)正在面對高級別、復(fù)雜的網(wǎng)絡(luò)攻擊。
報告顯示,我國有超過95.3%的中小微企業(yè)面臨非常嚴(yán)峻的數(shù)字安全威脅,大量的安全問題長期無法解決。在過去12個月,針對我國中小微企業(yè)最具破壞性的數(shù)字攻擊威脅分別是惡意軟件入侵(68%)、勒索攻擊(65.3%)、系統(tǒng)漏洞(64%)和網(wǎng)絡(luò)釣魚(42.7%)。
此外,黑客正在把攻擊目標(biāo)從大企業(yè)轉(zhuǎn)向防御能力更弱的中小微企業(yè),這成為一個新的趨勢。報告指出,2021年,81.6%的勒索軟件攻擊針對的是員工人數(shù)少于1000人的中小微企業(yè),許多勒索團(tuán)伙開始轉(zhuǎn)變戰(zhàn)術(shù),試圖勒索那些規(guī)模大到能夠支付贖金且規(guī)模又足夠小的公司,這樣可以降低執(zhí)法機(jī)構(gòu)的關(guān)注。
報告分析認(rèn)為,中小微企業(yè)對數(shù)字安全認(rèn)知不足、資金缺乏、缺乏適合的安全措施、以及員工安全意識和素養(yǎng)不到位,是其開展數(shù)字安全建設(shè)的重要障礙,也是其數(shù)字安全能力普遍不足的重要原因。360中小微企業(yè)問卷調(diào)查顯示,60%的受訪者在數(shù)字安全方面的年投入不超過10萬元,此外有81%的受訪者認(rèn)為自身防御能力不足,無法應(yīng)對黑客攻擊,需要獲得外界的幫助。
構(gòu)建社會化大合作讓中小微企業(yè)數(shù)字安全不掉隊(duì)
“傳統(tǒng)企業(yè)級安全方案并不合適中小微企業(yè)?!倍跑S進(jìn)表示,這是因?yàn)殡S著數(shù)字安全問題越來越復(fù)雜,中小微企業(yè)和大企業(yè)之間數(shù)字安全實(shí)踐的差距正在拉大,“中小微企業(yè)在數(shù)字化業(yè)務(wù)場景、數(shù)字安全預(yù)算、安全能力提升、應(yīng)急響應(yīng)等方面都存在特定的安全需求,而傳統(tǒng)企業(yè)級安全方案很難靈活、敏捷地進(jìn)行適配?!?
他認(rèn)為,中小微企業(yè)數(shù)字安全建設(shè)關(guān)鍵在于提高其數(shù)字安全能力,需要為它們提供低門檻的、可持續(xù)的、可定制的安全產(chǎn)品和服務(wù),做到“數(shù)字安全一個都不能少”,筑牢數(shù)字安全的整體屏障。而要實(shí)現(xiàn)這個目標(biāo),就需要做好以下五點(diǎn):
一是中小微企業(yè)需要采用能力思維,以實(shí)戰(zhàn)為目標(biāo),從產(chǎn)品主導(dǎo)轉(zhuǎn)向能力主導(dǎo)的數(shù)字安全建設(shè);
二是為資金、技術(shù)、人才受限的中小微企業(yè)提供免費(fèi)或低成本的數(shù)字安全服務(wù),降低數(shù)字安全威脅在供應(yīng)鏈擴(kuò)散的系統(tǒng)性風(fēng)險;
三是通過SaaS服務(wù)采用中小微企業(yè)數(shù)字安全“云上賦能”的模式,有效保障數(shù)字安全能力的靈活部署和可定制化;
四是將有限的資源投入到最迫切的數(shù)字安全能力中,逐步分期開展數(shù)字安全體系建設(shè),保障中小微企業(yè)數(shù)字安全建設(shè)的可持續(xù)性;
五是數(shù)字安全服務(wù)提供商要構(gòu)建能夠覆蓋中小微企業(yè)數(shù)字環(huán)境的安全大腦體系,實(shí)現(xiàn)持續(xù)賦能。
杜躍進(jìn)表示,關(guān)于中小微企業(yè)數(shù)字安全的未來遠(yuǎn)景,應(yīng)該以能力為導(dǎo)向,在云端構(gòu)建數(shù)字安全社會化大合作。中小微企業(yè)的數(shù)字安全非一家機(jī)構(gòu)或企業(yè)能夠解決,360希望能在中國中小企業(yè)協(xié)會指導(dǎo)下,發(fā)起成立“中小微企業(yè)數(shù)字安全聯(lián)盟”,與各界同行攜手解決我國中小微企業(yè)所面臨的數(shù)字安全問題。