咨询专家
Planning the right solution requires an understanding of your project's security goals. Let Kingston's experts guide you.
咨询专家Sally Eaves 教授担任 Cyber Trust 的主席,还担任 Global Foundation of Cyber Studies and Research 的高级政策顾问。她荣获了联合国颁发的首个 Frontier Technology and Social Impact Award 奖,被誉为“道德科技的火炬手”。Sally 拥有首席技术官经验,目前担任先进技术学科教授和新兴科技全球战略顾问,是数字转型(人工智能、5G、云、区块链、网络安全、治理、物联网、数据科学)以及文化、技能、多元化、公平和包容、可持续发展和社会影响)领域屡获殊荣的国际作家、主持人、主题演讲人和思想领袖。
Sally 积极教育和指导培养下一代科技人才,并且创办了 Aspirational Futures 来增强教育和技术领域的包容性、多元化和平等,她的新书“Tech For Good”(科技向善)即将出版。Sally 一直被 Onalytica 等著名企业公认为在科技领域具有全球影响力,在从 AI、5G 到可持续发展等多个领域排名全球前十。
中小型企业 (SME) 在国内经济和国际经济稳定与发展中扮演着重要角色。大约 4 亿中小型企业是我们经济的中流砥柱,是最大的就业机会来源,占全部企业实体数量的 95% 以上,提供 60% 至 70% 的就业机会。
因此,对于经济与安全性而言,中小型企业必须能够拥抱当今全渠道数字世界带来的各种机遇,同时维持强大的网络安全性。
而眼下正处于重大变革期。许多中小型企业需要迅速采取新的数字策略和技术,从而维持、转移或多元化他们的业务活动和模式,与此同时应对全球疫情和远程/混合工作模式的兴起。这也引发了更多网络风险。
这里存在一个令人深思的问题,网络攻击每 39 秒发生一次,平均每天 2,244 次 (Varoni 2020),而中小型企业面临的网络安全漏洞每年会增加 400% 以上。与此同时,用于应对这些风险的资源和财务减少,中小型企业的防御力度可能会下降。本文介绍了中小型企业面临的现代威胁形势、为什么这个问题如此重要以及面临的重大挑战,让中小型企业更好地意识到,必须针对日益上升的网络安全威胁做出改变并为未来做好准备。
“现在,我们就需要从中小型企业投资、培训、研究和对更高风险的增强意识中去除一种错误的认知,即中小型企业的数据对于网络犯罪分子和黑客以及整个全球经济价值不大!”Sally Eaves 教授
对于业务规模与网络攻击和对网络弹性缺乏准备所造成的成本等级(包括一开始的业务中断和财务损失)之间的关系,人们存在重大误解。让我们在现实环境中看看,据英国一项最新研究 (Vodafone Business 2021) 显示,一起成功实施的网络攻击所造成的平均成本为 3,230 英镑,该报告发现这种损失会导致近四分之一的英国中小型企业倒闭,还会导致另外 16% 的中小型企业裁员。这项研究结果与其他全球研究一致。并且,风险并未就此结束,这还会导致声誉受损以及消费者或生态系统信心下降,并对成功度过首轮风险冲击的企业造成更长久的影响。大约 81% 的消费者表示,在数据泄露事件后,他们会停止在线接触相应品牌。
此外,由于与各种供应商与合作伙伴合作,中小型企业的数据与大型企业一样重要,并可作为访问其他组织的门户,第二个误解不攻自破。如果网络攻击者可以攻破供应链中的任意一环,他们就能更轻松地攻破其他环节,常常包括供应链中的较大型公司。通常,窃取中小型企业数据容易得多。因此,自然我们可能会看到,针对这个领域的网络攻击的频率和复杂性都在增加,并且节奏加快,黑客们现在甚至以组织形式运作并以获取经济利益为共同目标。
新研究揭示了中小型企业与较大型企业面临的真正威胁程度。2019-2020 年期间,有高达 65% 的中小型企业遭受网络攻击,全部企业的比例则为 46% (Towergate),这证明了攻击不断发生!在此期间,在遭受攻击的中小型企业中,平均每家企业遭到 6 次攻击,相当于每两个月一次,令人震惊不已!(NatWest)。
除了供应链生态系统,2 个核心外部威胁因素浮现在脑海 – 网络钓鱼欺诈和社会工程。再加上内部威胁因素,这导致潜在受攻击面非常大,内部威胁因素包括缺少风险评估、访问控制不佳、数据、设备和密码保护、低水平投资、培训和意识不足、网络卫生文化与技能。
网络钓鱼欺诈和社会工程
85% 的网络攻击源自于网络钓鱼欺诈,网络钓鱼欺诈寻求欺骗用户“做错误的事情”,例如下载恶意软件,并且常常通过电子邮件通信实施欺诈。这种攻击在性质是也变得越来越复杂。事实上,在最近的一项测试中,人工智能可以撰写更好的网络钓鱼电子邮件!社会工程常常与网络钓鱼攻击存在关联,通过冒充、说服甚至威胁来操控人们执行特定操作或透露机密信息。这次疫情就是一个好例子,网络犯罪分子利用我们的集体脆弱局面,通过使用以 2019 冠状病毒病以主题的网络钓鱼电子邮件、短信或 WhatsApp 消息,甚至包含声称来自世界卫生组织 (WHO) 的附件,从而窃取帐号。在现实中,这类网络威胁的转变水平具有启示性,只需想想 1988 年第一个有记录的网络攻击“莫里斯蠕虫”。这次攻击影响到了 6,000 台计算机,占到当时整个互联网的 10% 左右,时代发生了何其巨大的变化!
供应链
多数攻击的源头是软件而非硬件,例如渗透定期软件更新的恶意软件,软件已成为网络犯罪分子最喜欢的攻击方式。攻击者寻求通过中小型企业的供应链锁定中小型企业,而更典型的做法是先攻击中小型企业,进而攻击较大型的组织。开源软件库是另一个供应链漏洞源头。展望未来,到 2025 年物联网链接数量有望增加一倍多,达到 750 亿,这本身就会形成新的网络风险。低成本硬件可以连接到网络,而网络中的许多设备则容易遭受攻击。从先进 IT/OT 融合和供应链生态系统的角度考虑,这种威胁领域的扩张会成为舞台主角。
这提出来一个核心问题:导致中小型企业未采用最新防御举措来积极应对网络风险的主要因素是什么?首先,意识与实践之间存在明显鸿沟,例如,最新一项研究发现,尽管 93% 的中小型企业认为网络安全对于他们业务的延续至关重要,但仅 64% 实际使用了网络安全解决方案。此外,一项欧洲调查发现了不同的意识与现实鸿沟,即许多中小型企业错误地认为网络安全举措已包含在他们所采购的 IT 产品中,不需要额外的安全举措,除非合规要求或法规强制这么做 (enisa 2021)。
投资规模是另一个挑战,Statista (2020) 发现网络安全方面的平均投资为 5,100 英镑,这可能使得中小型企业认为他们在开支方面大致正确。但是,这个数值已经被数量庞大的小微企业扭曲,后者的平均投资规模为 3,490 英镑。较大型企业可以说准备得更好,至少拥有更多资源,平均投资 277,000 英镑,这表明实际上两者差距巨大。因此,不法分子很乐意攻击中小型企业!
其他因素包括“网络文化”落后、对过高复杂性的认知、担心并常常误解云安全性,以及对中小型企业“实际上触手可及”的技术和支持整体缺乏认知。最令人担忧的可能是,在最新一项调查中,54% 的参与者表示,他们的公司不对员工进行数据安全和网络安全威胁方面的培训 (Vodafone Business 2021)。
显然,无论组织规模如何,网络安全应是所有公司的第一要务!由于威胁日益增长、愈演愈烈,确保您的系统不会遭到攻击变得比以往任何时候都重要。这需要在人员、流程、系统、网络和技术之间进行精心协调,其中涉及责任分担心态、文化和价值转变,以实现可始终支持成功技术变革的行为认同和改变。随着中小型企业成为网络钓鱼欺诈和社会工程等以人为目标的头号威胁手段,这使得培训成为这个领域重要的战略性赋能和驱动因素。对这些领域的危险认识越充分,您的网络安全水平就可能越高。
作为您现在就可以采取的第一个举措,专注于防止数据丢失至关重要,应考虑存在于员工手中的数据。在这里,加密 USB 闪存盘可能非常有用,有助于尽可能安全地存储和转移敏感数据。
金士顿科技公司是加密 USB 闪存盘领域历史悠久且高度可靠的领先企业,可根据您的业务需求提供定制支持。此外,金士顿科技公司优秀的“咨询专家”团队可以根据您的具体存储环境和需求提供量身定制的建议。
最后,在本文的后续文章中,您可以了解中小型企业提高网络安全性的 12 个主要技巧,涉及技术、流程和人员方面的方法。
#KingstonIsWithYou
Planning the right solution requires an understanding of your project's security goals. Let Kingston's experts guide you.
咨询专家