如何縮小中小企業的安全性缺口

#KingstonCognate 介紹 Sally Eaves 教授

Sally Eaves 教授是網路信任 (Cyber Trust) 主席，以及全球網路研究基金會 (Global Foundation of Cyber Studies and Research) 的資深政策顧問。她被譽為倫理道德技術的知識傳遞者，也是聯合國所頒發的尖端科技和社會影響獎首屆得獎者。曾任首席技術長 (CTO)、現為先進技術教授和新興技術領域的全球戰略顧問的 Sally Eaves，也是一位屢獲殊榮的國際級作家、主持人、主題演講者和思想領袖，擅長領域為數位轉型 (人工智慧、5G、雲端、區塊鏈、網路安全、治理、物聯網、資料科學)，以及文化、技能、DEI、永續性和社會影響等方面。

Sally 為支持下一代技術人才，積極投身教育和指導領域，並創立了 Aspirational Futures，以強化教育和技術領域的包容性、多樣性和平等性，她即將出版最新著作《Tech For Good》。Onalytica 等尖端機構持續認可 Sally 在技術領域的全球影響力，從人工智慧橫跨 5G 再到永續性等眾多領域中，名列全球前 10 名名單上。

不斷變化的中小企業網路威脅局面

新的研究將告訴我們，與大型企業相比，中小企業受威脅的真實程度。令人瞠目結舌的是 2019 年到 2020 年間，中小企業的網路攻擊事件高達 65%，而所有企業中有 46% 發生過不只一次網路攻擊事件 (根據 Towergate 相關報告)！在此期間，受到網路攻擊的中小企業中，平均每家遭遇 6 次網路攻擊，也就是說每兩個月就會有一次網路攻擊，頻率高得驚人！(根據 NatWest 相關報告)

那麼，中小企業要面對的關鍵威脅策略為何？

首先必須考量兩個最主要的外部威脅媒介，包括網路釣魚/社交工程，還有供應鏈生態系統。再考慮內部威脅層面，包括缺乏風險評估、存取控管、資料、設備和密碼保護不足、投資經費低、培訓、意識、網路衛生文化和技能缺乏，造成了潛在且巨大的攻擊面。

網路釣魚和社交工程
85% 的網路攻擊來自於網路釣魚，最常見的方式是藉由傳送電子郵件，試圖誘導使用者‘犯下錯誤，例如下載惡意軟體。而且它們在本質上變得越來越複雜。事實上，在最近的一次測試中發現，人工智慧寫出了更好的網路釣魚電子郵件！通常來說，網路釣魚相關的社交工程是指，藉由冒充、說服甚至恐嚇手法，操縱人們採取特定行動或洩露機密資訊的過程。疫情大流行就是一個很好的例子，網路犯罪分子試圖透過以 Covid-19 為標題，甚至是聲稱來自世界衛生組織 (WHO) 的網路釣魚電子郵件、文字或 WhatsApp 訊息，利用我們的集體脆弱性從中謀利。據此進一步思考，這種類型的網路威脅轉變程度很具啟發性。1988 年時，出現過有史以來第一次網路攻擊事件，名為 ‘莫里斯蠕蟲 (Morris Worm)。當時影響了 6,000 台電腦，約佔整個網際網路的 10%。時代已經改變了！

供應鏈
大多數的網路攻擊事件源自軟體而非硬體，例如惡意軟體滲透定期軟體更新，而成為網路犯罪分子偏愛的攻擊媒介。網路攻擊透過中小企業自身供應鏈來尋找並鎖定中小企業，或者更常見的是藉由攻擊中小企業，然後跳到目標更大的組織。開源軟體庫則提供了另一個供應鏈漏洞戰場。展望未來，2025 年的物聯網連接數量將增加一倍以上，達到 750 億台設備，這也會帶來新的網路風險。低成本硬體可連接到網路，而其中的許多設備都容易受到攻擊。如果我們從先進的 IT/OT 融合和供應鏈生態系統角度來考慮這點，那麼網路威脅戰場的擴張就會成為我們面對的主要問題。

中小企業的網路風險障礙

這裡提出了一個核心問題，中小企業沒有採用最新的保護措施，來更主動積極地應對網路風險，主要因素是什麼？首先，認知與實作之間顯然存在差距，例如最近的研究發現，雖然 93% 的中小企業認為網路安全對其業務持續營運有其重要性，但實際上只有 64% 的中小企業在使用網路安全解決方案。此外，一項歐洲調查發現了不同的認知和現實差距，即許多中小企業錯誤地認為，其購買的 IT 產品中就包含了網路安全控管功能，除非合規要求或法規強制要求，否則不需要額外的安全措施 (2021 年 enisa 相關報告)。

投資經費是另一項問題所在，2020 年 Statista 相關報告的調查發現，網路安全投資經費平均為 5,100 英鎊，這數據可能會讓中小企業認為他們在經費支出落於正確範圍內。但實際上，這個統計有龐大數量的微型和小型企業參雜其中，其平均預算為 3,490 英鎊，使得前述數據造成偏差。相比之下，較大的公司組織可以說準備得更加充分，或者說至少擁有更多資源，平均投資經費約增加到 277,000 英鎊，顯示大型企業和中小企業間存在巨大差距，網路攻擊份子會非常樂意利用此一差距！

進一步的因素包括‘網路文化不發達、認為過於複雜、對雲端安全的擔憂和誤解，以及中小企業實際上觸手可及的技術和支援整體缺乏認知'。最令人擔憂的可能是最近的一項調查，54% 的參與者表示，他們的企業並沒有針對員工進行資料安全和網路安全威脅方面的培訓 (2021 年 Vodafone Business 相關報告)。