中國信息安全 - 關注 | 數字安全一個都不能少 360發布國內首份中小微企業數字安全報告－鑽石舞台

掃碼訂閱《中國信息安全》雜誌

權威刊物重要平台關鍵渠道

郵發代號 2-786

「當前，中小微企業正面臨嚴峻數字安全風險，成為數字安全的重災區和數字安全屏障的短板。」2022年6月9日，中國中小企業協會聯合三六零（以下簡稱360）天樞智庫，發布了國內首份《中小微企業數字安全報告（2022年）【公開意見徵集版】》（以下簡稱「報告」）。360集團副總裁、首席安全官杜躍進博士在發布會上表示，通過走訪調查發現，近半數中小微企業去年遭受過網絡攻擊，超9成企業遭受攻擊後無法完全解決問題。

杜躍進表示，中小微企業的安全問題可引發供應鏈安全問題，更關乎着國家安全問題，因此其數字安全建設更需要以能力為導向，以「低成本模式」提供SaaS化服務，聚焦關鍵風險，實現持續賦能，才能更好地應對不斷升級的數字安全挑戰。

疫情迫使企業快速適應數字化引發安全新挑戰

報告顯示，新冠疫情加速了中小微企業數字化轉型。疫情初期，利用數字技術的企業比例為31%，疫情暴發後7至12個月內，這一數據便上升到44%，而對數字解決方案進行新增投資的企業比例也從17%增加到29%。

但此時安全風險也開始遍布所有數字化場景，帶來了全新的數字安全挑戰。報告指出，由於對數字安全重視程度不夠，中小微企業在享受數字化轉型帶來的紅利的同時，也面臨着巨大的數字安全風險：一是尚未充分認識到數字安全帶來的嚴重影響，二是普遍缺乏應對數字安全風險的安全能力，長此以往將嚴重受制於數字安全「短板」，進而影響我國數字經濟和社會發展的大局。

此外，由於擁有很強的創新能力，中小微企業往往是大企業供應鏈正常運轉的關鍵環節，也同時是政府多層供應鏈中的重要組成部分。報告指出，因自身安全基礎薄弱，攻擊者利用中小微企業和大企業的信任關係，很容易實現對更重要的供應鏈目標的攻擊。

安全能力不足超8成勒索攻擊針對中小微企業

事實上，中小微企業正在面對高級別、複雜的網絡攻擊。尤其是當下俄烏衝突引發的網絡戰引發外界廣泛關注，證明了在數字文明時代，數字產業落後，數字安全能力落後就要挨打。

報告顯示，我國有超過95.3%的中小微企業面臨非常嚴峻的數字安全威脅，大量的安全問題長期無法解決。在過去12個月，針對我國中小微企業最具破壞性的數字攻擊威脅分別是惡意軟件入侵（68%）、勒索攻擊（65.3%）、系統漏洞（64%）和網絡釣魚（42.7%）。

此外，黑客組織正在把攻擊目標從大企業轉向防禦能力更弱的中小微企業，這成為一個新的趨勢。報告指出，2021年，81.6%的勒索軟件攻擊針對的是員工人數少於1000人的中小微企業，許多勒索團伙開始轉變戰術，試圖勒索那些規模大到能夠支付贖金且規模又足夠小的公司，這樣可以降低執法機構的關注。

報告分析認為，中小微企業對數字安全認知不足、資金缺乏、缺乏適合的安全措施、以及員工安全意識和素養不到位，是其開展數字安全建設的重要障礙，也是其數字安全能力普遍不足的重要原因。360中小微企業問卷調查顯示，60%的受訪者在數字安全方面的年投入不超過10萬元，此外有81%的受訪者認為自身防禦能力不足，無法應對黑客攻擊，需要獲得外界的幫助。

對此，國家也堅定推動中小微企業開展數字安全建設工作。工業和信息化部在近日印發的《優質中小企業梯度培育管理暫行辦法》中明確規定，創新型中小企業、專精特新中小企業和專精特新「小巨人」企業，如發生重大安全（含網絡安全、數據安全）等事故，直接取消優質中小企業梯度培育公告或認定，且至少三年內不得再次申報。

構建社會化大合作讓中小微企業數字安全不掉隊

「傳統企業級安全方案並不合適中小微企業。」杜躍進表示，這是因為隨着數字安全問題越來越複雜，中小微企業和大企業之間數字安全實踐的差距正在拉大，「中小微企業在數字化業務場景、數字安全預算、安全能力提升、應急響應等方面都存在特定的安全需求，而傳統企業級安全方案很難靈活、敏捷地進行適配。」

他認為，中小微企業數字安全建設關鍵在於提高其數字安全能力，需要為它們提供低門檻的、可持續的、可定製的安全產品和服務，做到「數字安全一個都不能少」，築牢國家數字安全的整體屏障。而要實現這個目標，就需要做好以下五點：

一是中小微企業需要採用能力思維，以實戰為目標，從產品主導轉向能力主導的數字安全建設；

二是為資金、技術、人才受限的中小微企業提供免費或低成本的數字安全服務，降低數字安全威脅在我國供應鏈大範圍擴散的系統性風險；

三是通過SaaS服務採用中小微企業數字安全「雲上賦能」的模式，有效保障數字安全能力的靈活部署和可定製化；

四是將有限的資源投入到最迫切的數字安全能力中，逐步分期開展數字安全體系建設，保障中小微企業數字安全建設的可持續性；

五是數字安全服務提供商要構建能夠覆蓋中小微企業數字環境的安全大腦體系，實現持續賦能。

杜躍進表示，360作為全球最大的數字安全企業，提出一個關於中小微企業數字安全的未來遠景：以能力為導向，在雲端構建數字安全社會化大合作。該合作將以充分滿足中小微企業和國家的數字安全訴求為目標，在雲端構建可持續發展和開放迭代的數字安全賦能體系，高效匯聚和發揮全社會在數字安全領域的技術、知識、人員等資源優勢，以服務的形式敏捷、全面、低門檻覆蓋中小微企業，從而保障我國企業和供應鏈的整體數字安全水平持續提升。

杜躍進強調，中小微企業的數字安全非一家機構或企業能夠解決，360希望能在中國中小企業協會指導下，發起成立「中小微企業數字安全聯盟」，與各界同行攜手解決我國中小微企業所面臨的數字安全問題。