尽管网络安全早已成为大企业的当务之急,但对于小企业而言,意识并学会这一点越来越重要。
作者:Fergus Halliday
大企业对待网络安全的方式和小企业的方式一直存在着延迟。尽管大企业损失更大,也更有可能成为头条新闻,但NortonLifeLock亚太区高级总监Mark Gorrie表示,许多中小企业很容易成为网络犯罪分子的目标。
像微软这样的巨头每年在网络安全上投资数十亿美元的方法,并不适用于小企业。因此,Gorrie先生表示,小企业没有内部专业知识,也没有充足的预算投资于自我保护。他解释道,“他们的企业可能没有太多【网络安全】流程,因此很容易成为攻击目标”。然而,随着新冠疫情的限制以及远程办公的兴起,中小企业获取网络安全权利的压力越来越大。Gorrie先生警告称,“他们将不得不进行一定程度的投资,不可能什么措施都不采取就能维持安全”。
澳大利亚竞争与消费者委员会(ACCC)最近在澳大利亚网络诈骗活动的一份报告中发现,2020年澳大利亚企业举报的网络诈骗增加了260%。这份报告特别强调了商业电子邮件钓鱼造成了$1.28亿澳元的损失。尽管这些企业可以做很多事情来阻止网络攻击,但实现企业网络安全的过程是具有教育意义的。对许多企业来说,“一劳永逸”的老话应让位给更积极主动的心态。
Gorrie先生表示,这种方法从建立和保持良好的网络环境习惯开始。小企业应停止重复使用密码,保证设备受到最新安全软件更新的保护。这些类型的网络安全建议看似平常无奇,但现实中,正是这些枯燥的程序最有可能组织网络威胁。Gorrie先生说,“我并不认为基本措施过于复杂或困难,它确实很有效”。
Gorrie先生的许多问题得到了澳大利亚网络安全中心(ACSC)的回复。澳大利亚网络安全中心发言人说,“网络犯罪分子不断以澳大利亚家庭、企业和组织为目标,窃取敏感信息和金钱,其方式包括商业电子邮件漏洞和勒索软件攻击”。
尽管ACSC表示,小企业仍是网络犯罪的主要目标,但该组织的发言人表示,“所有企业都可以采取一些简单的措施,帮助防止或减少网络安全事件的影响”。
众所周知,网络安全战略取决于最薄弱的环节。因此,建立良好的网络环境程序和规程,是消除这些薄弱环节的可靠方法。Gorrie先生建议,“在可能的情况下,多方面验证在限制受损账户被访问方面肯定会产生很大影响”。
有效备份也是一个经常被忽略的弱点。尽管许多小企业已经习惯了出于安全保管而备份数据的观念,但Gorrie表示,这种备份在异地进行至关重要。。他警告道,“很多人连接外部硬盘后,不及时拔出。如果它们被勒索软件攻击,通常会在备份原始数据的同时进行加密备份”。
良好的网络环境给了小企业一个可以依靠的基础,以及在日益数字化的世界中安心经营的条件。对于那些希望在此基础上发展的企业而言,关键是要集中思路,熟悉威胁表面的概念。中小企业的长期后勤和日常工作流程与互联网交织的每个点都是攻击者可以推进的潜在媒介。
当然,对于许多企业来说,威胁并不局限于PC或智能手机等设备。还包括打印机、路由器和智能安全系统等。只要与互联网相连,它就可以是一个窃取小企业利益的工具。即使是基于云的平台,如Google Drive或Dropbox,也可能成为恶意黑客入侵的途径。对于希望采取积极主动的网络安全办法的小企业业主来说,绘制出公司的威胁平面是关键且必要的措施。与其坐以待毙,不如寻找潜在出错的地方,然后做出相应的规划。
所以,一旦你对威胁以及不良网络安全习惯的抵制方法了如指掌,下一步该怎么做?Gorrie先生强调,小企业要让自己和员工熟悉一个最常见的网络安全威胁:网络钓鱼。
网络钓鱼既老套又有效。它利用了用户在毫无网络威胁意识中操作的预设思维。大多数情况下,当用户打开一封电子邮件时,他们会假设邮件内容是合法的,发件人没有恶意。这种粗心大意的人正是钓鱼邮件捕猎的对象。
切勿点击不明链接,警惕可疑邮件。这个建议听起来平淡无奇,但网络犯罪分子对网络钓鱼的持续使用表明这仍是必要的。
据ACCC统计,2020年澳大利亚企业上报的网络钓鱼案件增加260%
Gorrie先生说,“这些钓鱼案件中,许多是通过钓鱼电子邮件发起的。所以人们只要点击电子邮件就会触发链接或附件”。
即使网络钓鱼本身并没有那么大的破坏性,但它们往往是真正网络攻击的前兆。人们发明了一种探测器,旨在发现更严重勒索软件攻击的薄弱环节。
Gorrie先生表示,近些年防范网络钓鱼的努力越来越复杂,因为现在很多人使用手机作为主要设备。
他还说,小企业应当注意,员工的个人设备可以成为网络攻击者进行攻击的有效途径,如企业购买的笔记本电脑。由于只需轻轻一点就可以让网络攻击者侵入你的防御系统,因此,教育可能是最好的武器。对网络钓鱼的认识不仅仅是企业主应亲自调查的事情,而且需要确保员工们受到教育。
据ACCC统计,仅2020年商业电子邮件钓鱼就造成了$1.28亿的损失
“员工是防守的关键部分,但也是最薄弱的环节。”Gorrie先生说。“让员工了解这些攻击的形式、它们如何进入以及它们的目标,这无疑至关重要”。
对于希望加强网络安全立场的大型中小企业,Gorrie先生还有最后一项建议:网络保险。自2019年生效以来,澳大利亚的强制性违规报告制度要求所有年营业额达到或超过300万澳元的公司向澳大利亚信息专员办公室(OAIC)报告任何和所有网络违规行为,并尽快通知受影响的客户。
Gorrie先生表示,尽管现在较小的企业不会因数据泄露被当前法律抓住把柄,但如果发生数据违规,营业额较高的小企业可能会面临法律制裁。他说,“这就是网络保险绝对可以帮助企业确保他们不会面临财务破产的地方。”
在网络安全方面,小企业永远无法与它们的企业对手在基础设施支出和技术能力上相提并论,但这不是不去尝试的借口。通过做出更明智的网络安全选择,而不是像往常一样依赖业务,中小企业可以最大限度地降低自身风险,让客户做到最好。
良好网络环境的首要措施
维持良好的网络环境是帮助您和您的企业保持网络安全的一种普遍做法。
第1步:安装信誉良好的防病毒软件
第2步:使用网络防火墙,防止未授权用户
第3步:定期更新软件,如应用程序、浏览器和操作系统
第4步:为所有设备设置强密码
第5步:使用多因素验证,如向你的手机发送唯一识别码
第6步:采用设备加密
第7步:定期在外部硬盘或云盘中备份文件
第8步:保护路由器和无线网络
资料来源:诺顿公司
原载自公共会计师协会会刊《公共会计师》(Public accountant)2021年10月-11月刊,第54-57页,《公共会计师》数字资讯中心:www.publicaccountant.com.au
京公网安备 11010502048225号
