Kingston Technology’s Statement In Support of Ukraine - Learn More

在具有二進位碼的藍綠色背景上,2D 紅色破損鎖頭上裝了受保護的藍色鎖頭

如何縮小中小企業的安全性缺口

十一月 2021
By Sally Eaves 教授
博客首頁

#KingstonCognate 介紹 Sally Eaves 教授

Sally Eaves 教授的照片

Sally Eaves 教授是網路信任 (Cyber Trust) 主席,以及全球網路研究基金會 (Global Foundation of Cyber Studies and Research) 的高級政策顧問。她被譽為‘倫理道德技術的知識傳遞者,也是聯合國所頒發的尖端科技和社會影響獎首屆得獎者。Sally 是一位具有相關背景的首席技術長 (CTO),現為先進技術教授和新興技術領域的全球戰略顧問,是一位屢獲殊榮的國際級作家、主持人、主題演講者和思想領袖,擅長領域為數位轉型 (人工智慧、5G、雲端、區塊鏈、網路安全、統轄管理、物聯網、資料科學),以及文化、技能、DEI、永續性和社會影響等方面。

Sally 為支持下一代技術人才,積極投身教育和指導領域,並創立了 Aspirational Futures,以強化教育和技術領域的包容性、多樣性和平等性,她的最新著作《Tech For Good》將於 2022 年出版。Sally 的全球影響力被 Onalytica 等領先機構認可,涵蓋人工智慧橫跨 5G 再到永續性等眾多領域,名列全球前 10 。

中小企業的網路威脅概況

中小企業 (SME) 在國家經濟和國際經濟穩定與成長中扮演著重要角色。目前約有 4 億家中小企業是全球經濟支柱,也是創造工作和就業的主要來源,佔所有商業實體的 95% 以上,以及就業人數的 60% 至 70%。

因此,對於經濟和安全面而言,中小企業有必要抓緊現今全通路數位世界所帶來的所有機會,同時確保網路安全。

這是個發生重大改變的時刻。許多中小企業需要快速採用新的數位戰略和技術,以便在應對疫情全球大流行和遠端/混合型態工作興起的同時,維持、調整或多元化其業務活動和模式。這也帶來了額外的網路風險。

每 39 秒會發生一次網路攻擊,平均每天發生 2,244 次 (2020 年 Varonis.com 相關報告),且中小企業遭受網路攻擊的脆弱程度每年以超過 400% 的速度增長,十分發人深省。但我們可以用較少的資源和財務預算,來降低用在警戒防衛上的花費,並有效地進行管理。本文概述現今中小企業的網路威脅概況、它為何如此重要,以及其面臨的主要挑戰,進而提高自身危機意識,這對於改變並培養未來應對不斷升級的網路安全威脅來說很重要。

「是時候認清事實了!針對中小企業在投資、教育、研究和擴大風險意識來說,在網路犯罪分子和駭客眼中,中小企業的資料價值較低,且中小企業對於整體全球經濟佔有比重較低,這些都是錯誤觀念。」Sally Eaves 教授

中小企業風險上升:它為何如此重要

黑衣人電腦駭客正在打字的背影,其後方是文字拼湊而成的地圖,前方則不斷浮現二進位碼的數字

人們普遍誤解業務規模的大小,與所遭受的網路攻擊成本水準有關,因此對網路攻擊的準備不足,使業務中斷和金錢損失首當其衝。考慮到這點,根據最近的英國研究 (2021 年 Vodafone Business 相關報告) 所述,一次成功的網路攻擊平均成本為 3,230 英鎊,報告發現這些損失將導致近四分之一的英國中小企業倒閉,且必須裁員的人數增加 16%。這也與其他全球研究看法一致。風險並不止於此,對於在最初的網路威脅中倖存下來的企業來說,聲譽受損以及消費者或整體系統信任度降低的影響,會持續更長時間。大約 81% 的消費者表示,若發生網路資料外洩,他們會停止與品牌線上互動。

此外,在此也要說明,中小企業與各種供應商和合作夥伴合作時,中小企業的資料與大型企業的資料一樣有價值,且可以為其他組織提供存取閘道,這其實是另一種誤解。網路攻擊者多半會針對大型公司,破壞供應鏈中的任一環節,他們就能更輕易地進一步攻擊供應鏈中的其他對象。而中小企業的資料通常更容易被竊取。看到這也許也就不足為奇了,針對此領域的網路攻擊複雜性正在升級,而不僅是網路攻擊的頻率提高而已,並且正在以一定的速度進行,包括有組織化團體運作的駭客,其共同目的是獲得金錢利益。

不斷變化的中小企業網路威脅局面

新的研究將告訴我們,與大型企業相比,中小企業受威脅的真實程度。令人瞠目結舌的是 2019 年到 2020 年間,中小企業的網路攻擊事件高達 65%,而所有企業中有 46% 發生過不只一次網路攻擊事件 (根據 Towergate 相關報告)!在此期間,受到網路攻擊的中小企業中,平均每家遭遇 6 次網路攻擊,也就是說每兩個月就會有一次網路攻擊,頻率高得驚人!(根據 NatWest 相關報告)

那麼,中小企業要面對的關鍵威脅策略為何?

首先必須考量兩個最主要的外部威脅媒介,包括網路釣魚/社交工程,還有供應鏈生態系統。再考慮內部威脅層面,包括缺乏風險評估、存取控管、資料、設備和密碼保護不足、投資經費低、培訓、意識、網路衛生文化和技能缺乏,造成了潛在且巨大的攻擊面。

一個開啟的郵件符號,信中帶有一個魚鉤

網路釣魚和社交工程
85% 的網路攻擊來自於網路釣魚,最常見的方式是藉由傳送電子郵件,試圖誘導使用者‘犯下錯誤,例如下載惡意軟體。而且它們在本質上變得越來越複雜。事實上,在最近的一次測試中發現,人工智慧寫出了更好的網路釣魚電子郵件!通常來說,網路釣魚相關的社交工程是指,藉由冒充、說服甚至恐嚇手法,操縱人們採取特定行動或洩露機密資訊的過程。疫情大流行就是一個很好的例子,網路犯罪分子試圖透過以 Covid-19 為標題,甚至是聲稱來自世界衛生組織 (WHO) 的網路釣魚電子郵件、文字或 WhatsApp 訊息,利用我們的集體脆弱性從中謀利。據此進一步思考,這種類型的網路威脅轉變程度很具啟發性。1988 年時,出現過有史以來第一次網路攻擊事件,名為 ‘莫里斯蠕蟲 (Morris Worm)。當時影響了 6,000 台電腦,約佔整個網際網路的 10%。時代已經改變了!

供應鏈
大多數的網路攻擊事件源自軟體而非硬體,例如惡意軟體滲透定期軟體更新,而成為網路犯罪分子偏愛的攻擊媒介。網路攻擊透過中小企業自身供應鏈來尋找並鎖定中小企業,或者更常見的是藉由攻擊中小企業,然後跳到目標更大的組織。開源軟體庫則提供了另一個供應鏈漏洞戰場。展望未來,2025 年的物聯網連接數量將增加一倍以上,達到 750 億台設備,這也會帶來新的網路風險。低成本硬體可連接到網路,而其中的許多設備都容易受到攻擊。如果我們從先進的 IT/OT 融合和供應鏈生態系統角度來考慮這點,那麼網路威脅戰場的擴張就會成為我們面對的主要問題。

中小企業的網路風險障礙

這裡提出了一個核心問題,中小企業沒有採用最新的保護措施,來更主動積極地應對網路風險,主要因素是什麼?首先,認知與實作之間顯然存在差距,例如最近的研究發現,雖然 93% 的中小企業認為網路安全對其業務持續營運有其重要性,但實際上只有 64% 的中小企業在使用網路安全解決方案。此外,一項歐洲調查發現了不同的認知和現實差距,即許多中小企業錯誤地認為,其購買的 IT 產品中就包含了網路安全控管功能,除非合規要求或法規強制要求,否則不需要額外的安全措施 (2021 年 enisa 相關報告)。

投資經費是另一項問題所在,2020 年 Statista 相關報告的調查發現,網路安全投資經費平均為 5,100 英鎊,這數據可能會讓中小企業認為他們在經費支出落於正確範圍內。但實際上,這個統計有龐大數量的微型和小型企業參雜其中,其平均預算為 3,490 英鎊,使得前述數據造成偏差。相比之下,較大的公司組織可以說準備得更加充分,或者說至少擁有更多資源,平均投資經費約增加到 277,000 英鎊,顯示大型企業和中小企業間存在巨大差距,網路攻擊份子會非常樂意利用此一差距!

進一步的因素包括‘網路文化不發達、認為過於複雜、對雲端安全的擔憂和誤解,以及中小企業實際上觸手可及的技術和支援整體缺乏認知'。最令人擔憂的可能是最近的一項調查,54% 的參與者表示,他們的企業並沒有針對員工進行資料安全和網路安全威脅方面的培訓 (2021 年 Vodafone Business 相關報告)。

消除網路風險

Kingston DataTraveler Vault Privacy 3.0 插在筆記型電腦中,背景為帶有鎖住和密碼符號的二進位碼

顯然,無論組織規模大小為何,網路安全都應該是每個人的首要任務!隨著威脅與日俱增,確保自身系統不會為攻擊大開‘方便之門顯得空前重要。這需要針對人員、流程、系統、網路和技術進行仔細協調,且涉及共同責任的心態、文化和價值觀轉變,做到行為上的改變和認同,這絕對是成功的技術變革基礎。由於中小企業遭受以人為中心的首要威脅戰術,即社交工程和網路釣魚,這使得教育成為此一領域的重要戰略推動者和驅動力。您對這些危險領域的了解越多,您的網路安全層級就越高。

您目前可以先從這點開始,重要的是確認您的員工在本地端的現存資料,注重資料遺失防範。加密 USB 隨身碟對此非常有用,有助於確保盡可能安全地儲存並傳輸敏感資料。

Kingston Technology 是加密 USB 隨身碟領域中歷史悠久且備受信賴的領導品牌,能根據您的業務需求和優勢提供客製化支援。此外,Kingston Technology 卓越的「諮詢專家」團隊,可針對您的特定儲存環境和需求,提供具客製化優勢且量身打造的建議。

最後,在本文之後推出的其他文章中,將讓您探索中小企業能採取的 12 個最重要的技巧,透過技術、流程和以人為本的方法來強化網路安全態勢。

#KingstonIsWithYou

請教專家

請教專家

要規劃適當的解決方案需要對專案目標有通盤了解。讓 Kingston 專家引導您完成作業。

請教專家

相關產品

相關文章