数字安全一个都不能少 360发布国内首份中小微企业数字安全报告
“当前,中小微企业正面临严峻数字安全风险,成为数字安全的重灾区和数字安全屏障的短板。”2022年6月9日,中国中小企业协会联合三六零(股票代码:601360.SH,以下简称360)天枢智库,发布了国内首份《中小微企业数字安全报告(2022年)【公开意见征集版】》(以下简称“报告”)。 360集团副总裁、首席安全官杜跃进博士在发布会上表示,通过走访调查发现,近半数中小微企业去年遭受过网络攻击,超9成企业遭受攻击后无法完全解决问题。
杜跃进表示,中小微企业的安全问题可引发供应链安全问题,更关乎着国家安全问题,因此其数字安全建设更需要以能力为导向,以“低成本模式”提供SaaS化服务,聚焦关键风险,实现持续赋能,才能更好地应对不断升级的数字安全挑战。
疫情迫使企业快速适应数字化 引发安全新挑战
报告显示,新冠疫情加速了中小微企业数字化转型。疫情初期,利用数字技术的企业比例为31%,疫情爆发后7至12个月内,这一数据便上升到44%,而对数字解决方案进行新增投资的企业比例也从17%增加到29%。
但此时安全风险也开始遍布所有数字化场景,带来了全新的数字安全挑战。报告指出,由于对数字安全重视程度不够,中小微企业在享受数字化转型带来的红利的同时,也面临着巨大的数字安全风险:一是尚未充分认识到数字安全带来的严重影响,二是普遍缺乏应对数字安全风险的安全能力,长此以往将严重受制于数字安全“短板”,进而影响我国数字经济和社会发展的大局。
此外,由于拥有很强的创新能力,中小微企业往往是大企业供应链正常运转的关键环节,也同时是政府多层供应链中的重要组成部分。报告指出,因自身安全基础薄弱,攻击者利用中小微企业和大企业的信任关系,很容易实现对更重要的供应链目标的攻击。
安全能力不足 超8成勒索攻击针对中小微企业
事实上,中小微企业正在面对高级别、复杂的网络攻击。尤其是当下国际局势引发的网络战引发外界广泛关注,证明了在数字文明时代,数字产业落后,数字安全能力落后就要挨打。
报告显示,我国有超过95.3%的中小微企业面临非常严峻的数字安全威胁,大量的安全问题长期无法解决。在过去12个月,针对我国中小微企业最具破坏性的数字攻击威胁分别是恶意软件入侵(68%)、勒索攻击(65.3%)、系统漏洞(64%)和网络钓鱼(42.7%)。
此外,黑客组织正在把攻击目标从大企业转向防御能力更弱的中小微企业,这成为一个新的趋势。报告指出,2021年,81.6%的勒索软件攻击针对的是员工人数少于1000人的中小微企业,许多勒索团伙开始转变战术,试图勒索那些规模大到能够支付赎金且规模又足够小的公司,这样可以降低执法机构的关注。
报告分析认为,中小微企业对数字安全认知不足、资金缺乏、缺乏适合的安全措施、以及员工安全意识和素养不到位,是其开展数字安全建设的重要障碍,也是其数字安全能力普遍不足的重要原因。360中小微企业问卷调查显示,60%的受访者在数字安全方面的年投入不超过10万元,此外有81%的受访者认为自身防御能力不足,无法应对黑客攻击,需要获得外界的帮助。
对此,国家也坚定推动中小微企业开展数字安全建设工作。工业和信息化部在近日印发的《优质中小企业梯度培育管理暂行办法》中明确规定,创新型中小企业、专精特新中小企业和专精特新“小巨人”企业,如发生重大安全(含网络安全、数据安全)等事故,直接取消优质中小企业梯度培育公告或认定,且至少三年内不得再次申报。
构建社会化大合作 让中小微企业数字安全不掉队
“传统企业级安全方案并不合适中小微企业。”杜跃进表示,这是因为随着数字安全问题越来越复杂,中小微企业和大企业之间数字安全实践的差距正在拉大,“中小微企业在数字化业务场景、数字安全预算、安全能力提升、应急响应等方面都存在特定的安全需求,而传统企业级安全方案很难灵活、敏捷地进行适配。”
他认为,中小微企业数字安全建设关键在于提高其数字安全能力,需要为它们提供低门槛的、可持续的、可定制的安全产品和服务,做到“数字安全一个都不能少”,筑牢国家数字安全的整体屏障。而要实现这个目标,就需要做好以下五点:
一是中小微企业需要采用能力思维,以实战为目标,从产品主导转向能力主导的数字安全建设;
二是为资金、技术、人才受限的中小微企业提供免费或低成本的数字安全服务,降低数字安全威胁在我国供应链大范围扩散的系统性风险;
三是通过SaaS服务采用中小微企业数字安全“云上赋能”的模式,有效保障数字安全能力的灵活部署和可定制化;
四是将有限的资源投入到最迫切的数字安全能力中,逐步分期开展数字安全体系建设,保障中小微企业数字安全建设的可持续性;
五是数字安全服务提供商要构建能够覆盖中小微企业数字环境的安全大脑体系,实现持续赋能。
杜跃进表示,360作为全球最大的数字安全企业,提出一个关于中小微企业数字安全的未来远景:以能力为导向,在云端构建数字安全社会化大合作。该合作将以充分满足中小微企业和国家的数字安全诉求为目标,在云端构建可持续发展和开放迭代的数字安全赋能体系,高效汇聚和发挥全社会在数字安全领域的技术、知识、人员等资源优势,以服务的形式敏捷、全面、低门槛覆盖中小微企业,从而保障我国企业和供应链的整体数字安全水平持续提升。
杜跃进强调,中小微企业的数字安全非一家机构或企业能够解决,360希望能在中国中小企业协会指导下,发起成立“中小微企业数字安全联盟”,与各界同行携手解决我国中小微企业所面临的数字安全问题。