粉絲團
賽門鐵克調查發現,半數的中小企業自認能免於針對性網路攻擊,並且未建置基本的網路防禦機制
台灣賽門鐵克資深技術顧問張士龍表示:「雖然中小企業知道網路攻擊的危險性,但許多企業卻沒有意識到自己身處在危險的環境中。駭客不會依據企業規模的大小來挑選攻擊的對象,他們的目標是那些可從中謀取利益的機密資訊。因此,當中小企業的警戒心不足時,便容易成為駭客下手的目標。」
「中小企業比以往更需要採取必要的措施以確保自己資訊的安全。其實企業僅需落實一些簡單的計畫,像是教育訓練以及採用最佳實務流程與技術,即能大幅強化網路安全措施。」
調查結果重點
• 中小企業熟悉各種安全威脅
此份調查顯示,超過半數的中小企業皆熟悉企業所面臨各種不同類型的安全威脅,其中包括針對性攻擊、鍵盤側錄、以及利用智慧型手機執行公司業務所面臨的風險等。超過半數( 54 %)受訪者表示惡意程式會導致生產力的損失, 36 %受訪者認為駭客能夠取得自己的專利資訊。此外,受訪者表示針對性攻擊可能會影響企業營運。 46 %受訪者表示,針對性攻擊可能會造成營收受損,且 20 %的受訪者表示,網路攻擊可能會造成顧客流失。
• 中小企業不認為自己是駭客鎖定的目標
令人驚訝的是,儘管中小企業知道網路攻擊的危險,但他們卻不認為自己處在攻擊危險的籠罩之下。事實上,半數受訪的中小企業認為只有大型企業才須擔心這些攻擊,而他們是小公司,因此不會有被攻擊的風險。然而這樣的認知和實際的結果完全相反,根據 Symantec.cloud 資料顯示,自從 2010 年年初以來, 40 %的針對性攻擊是鎖定員工人數少於 500 人的中小企業,而只有 28 %是鎖定大型企業。
• 中小企業並未採取行動
由於中小企業不認為自己會是被攻擊的目標,因此大多數中小企業甚至沒有採取基本的預防措施來保護自己的資訊。雖然有三分之二的受訪企業有限制哪些使用者能存取資訊,但令人震驚的是竟有 63 %的受訪者沒有保護用來執行網路銀行的電腦,甚至有 9 %的企業完全沒有針對用來執行網路銀行交易的電腦採取額外的預防性保護措施。超過半數的受訪企業( 61 %)並未在所有桌上型電腦上安裝防毒軟體, 47 %的受訪企業沒有在電子郵件伺服器或服務系統上導入安全機制。
建議
為了維護公司機密資訊的安全,中小企業可採取以下簡單的行動來抵禦各種網路攻擊。
- 教育員工:擬定網路安全準則,並教育員工瞭解網路安全、安全防護、以及各種最新的安全威脅。部分的訓練課程亦應教導定期變更密碼以及保護各種行動裝置的重要性。
- 評估企業的安全狀態:中小企業的機密資訊所面臨的風險持續攀升,因此保護資料至關重要。只要發生一次資料外洩事件,就會讓中小企業面臨難以承受的財務損失。先確定企業必須保護哪些資產,且務必瞭解企業所面臨的風險,以及安全上的認知差異,如此方能採取正確的保護措施以確保資訊安全。
- 採取行動:主動出擊,並擬定安全計畫。可考慮採用像是密碼規範、端點保護、電子郵件與網路資產安全、以及加密等方法。企業亦須評估應選擇自行管理或委外托管服務以符合企業的需求。
賽門鐵克 2011 中小企業安全威脅認知調查
賽門鐵克 2011 中小企業安全威脅認知調查係由 Applied Research 於 2011 年 9 月以電話調查所做的研究結果,此份調查針對全球共 1900 家企業進行訪查。在受訪的企業中, 25 %的企業擁有 5 至 49 名員工, 25 %擁有 50 至 99 名員工, 25 %擁有 100 至 249 名員工, 25 %擁有 250 至 499 名員工。所有的訪問對象都是負責管理運算資源的員工。此份調查涵蓋亞太暨日本地區的 10 個國家,其中包括澳洲、印尼、日本、馬來西亞、紐西蘭、菲律賓、新加坡、南韓、泰國、以及越南,共 700 位受訪者所完成的調查。
