如何弥补中小型企业在安全方面的不足

#KingstonCognate 介绍 Sally Eaves 教授

Sally Eaves 教授担任 Cyber Trust 的主席，还担任 Global Foundation of Cyber Studies and Research 的高级政策顾问。她荣获了联合国颁发的首个 Frontier Technology and Social Impact Award 奖，被誉为“道德科技的火炬手”。Sally 拥有首席技术官经验，目前担任先进技术学科教授和新兴科技全球战略顾问，是数字转型（人工智能、5G、云、区块链、网络安全、治理、物联网、数据科学）以及文化、技能、多元化、公平和包容、可持续发展和社会影响）领域屡获殊荣的国际作家、主持人、主题演讲人和思想领袖。

Sally 积极从事教育和顾问工作，支持新一代技术人才的成长，并创立了 Aspirational Futures 来促进教育和技术领域的包容、多样性和公平，她关于“科技向善”的新书将于 2022 年出版。Sally 在技术领域的全球影响力一直得到 Onalytica 等主流机构的认可，被从人工智能、5G 到可持续发展的众多学科领域评为全球 10 大影响家。

中小型企业的风险形势不断演变

新研究揭示了中小型企业与较大型企业面临的真正威胁程度。2019-2020 年期间，有高达 65% 的中小型企业遭受网络攻击，全部企业的比例则为 46% (Towergate)，这证明了攻击不断发生！在此期间，在遭受攻击的中小型企业中，平均每家企业遭到 6 次攻击，相当于每两个月一次，令人震惊不已！(NatWest)。

因此，中小型企业面临哪些重大威胁手段？

除了供应链生态系统，2 个核心外部威胁因素浮现在脑海 – 网络钓鱼欺诈和社会工程。再加上内部威胁因素，这导致潜在受攻击面非常大，内部威胁因素包括缺少风险评估、访问控制不佳、数据、设备和密码保护、低水平投资、培训和意识不足、网络卫生文化与技能。

网络钓鱼欺诈和社会工程
85% 的网络攻击源自于网络钓鱼欺诈，网络钓鱼欺诈寻求欺骗用户“做错误的事情”，例如下载恶意软件，并且常常通过电子邮件通信实施欺诈。这种攻击在性质是也变得越来越复杂。事实上，在最近的一项测试中，人工智能可以撰写更好的网络钓鱼电子邮件！社会工程常常与网络钓鱼攻击存在关联，通过冒充、说服甚至威胁来操控人们执行特定操作或透露机密信息。这次疫情就是一个好例子，网络犯罪分子利用我们的集体脆弱局面，通过使用以 2019 冠状病毒病以主题的网络钓鱼电子邮件、短信或 WhatsApp 消息，甚至包含声称来自世界卫生组织 (WHO) 的附件，从而窃取帐号。在现实中，这类网络威胁的转变水平具有启示性，只需想想 1988 年第一个有记录的网络攻击“莫里斯蠕虫”。这次攻击影响到了 6,000 台计算机，占到当时整个互联网的 10% 左右，时代发生了何其巨大的变化！

供应链
多数攻击的源头是软件而非硬件，例如渗透定期软件更新的恶意软件，软件已成为网络犯罪分子最喜欢的攻击方式。攻击者寻求通过中小型企业的供应链锁定中小型企业，而更典型的做法是先攻击中小型企业，进而攻击较大型的组织。开源软件库是另一个供应链漏洞源头。展望未来，到 2025 年物联网链接数量有望增加一倍多，达到 750 亿，这本身就会形成新的网络风险。低成本硬件可以连接到网络，而网络中的许多设备则容易遭受攻击。从先进 IT/OT 融合和供应链生态系统的角度考虑，这种威胁领域的扩张会成为舞台主角。

中小型企业应对网络风险的障碍

这提出来一个核心问题：导致中小型企业未采用最新防御举措来积极应对网络风险的主要因素是什么？首先，意识与实践之间存在明显鸿沟，例如，最新一项研究发现，尽管 93% 的中小型企业认为网络安全对于他们业务的延续至关重要，但仅 64% 实际使用了网络安全解决方案。此外，一项欧洲调查发现了不同的意识与现实鸿沟，即许多中小型企业错误地认为网络安全举措已包含在他们所采购的 IT 产品中，不需要额外的安全举措，除非合规要求或法规强制这么做 (enisa 2021)。

投资规模是另一个挑战，Statista (2020) 发现网络安全方面的平均投资为 5,100 英镑，这可能使得中小型企业认为他们在开支方面大致正确。但是，这个数值已经被数量庞大的小微企业扭曲，后者的平均投资规模为 3,490 英镑。较大型企业可以说准备得更好，至少拥有更多资源，平均投资 277,000 英镑，这表明实际上两者差距巨大。因此，不法分子很乐意攻击中小型企业！

其他因素包括“网络文化”落后、对过高复杂性的认知、担心并常常误解云安全性，以及对中小型企业“实际上触手可及”的技术和支持整体缺乏认知。最令人担忧的可能是，在最新一项调查中，54% 的参与者表示，他们的公司不对员工进行数据安全和网络安全威胁方面的培训 (Vodafone Business 2021)。