“小型”企业其实并不小。在全球经济体系下,小型和中型规模企业(SMB)全部的产值高达数万亿美元,雇佣的员工数量超过几百万。通常,我们将员工数量不足500人的企业归类为中小型企业,那么规模更小的企业呢?根据IDC预计,全球有大约8000万家规模小于10人的企业。这些“非常小的企业”通常在家进行经营,通常,这些企业的“创始人和总经理”和为企业订购打印纸的人是同一个人。但是就是这些企业,在2013年的产值高达数百万甚至数十亿美元。此外,这8000万规模非常小的企业(VSB)还面临一个现实,即大多数这样的企业没有员工或资源专门建设自己的IT网络。很多情况下,公司负责订购打印纸的员工,同样会负责维护计算机和网络,保证公司同客户的联系。尽管规模较小,但VSB同相对较大的企业一样,具有很多关键需求,尤其是需要保护自己的重要数据,例如客户数据以及企业金融信息(在使用在线银行和处理客户订单时)。此外,他们还具有一个共同点,均容易成为网络犯罪的受害者。
以下小型企业共有的想法,尤其是VSB企业:
· 我的企业规模很小,不会遭遇网络罪犯攻击,网络罪犯不会在我的企业上浪费时间
· 我的企业没有值得窃取的东西
反驳第一种设想的证据很多。例如,根据Verizon的2013年数据泄漏调查报告(包含全球数据取证调查结果),2013年发生的621起数据泄漏事件中,有193起(超过30%)均发生于规模小于100名员工或规模更小的企业中1。第二种设想同样不实,因为一旦企业开始进行在线销售,肯定会访问一些隐私客户数据,例如客户名称、地址和信用卡号码等。这些基本信息对网络罪犯当然有价值,而且小型企业自身的金融信息对网络罪犯同样有价值。
事实上,有些网络罪犯更喜欢对规模很小的企业进行攻击,而非对规模较大的企业发动攻击。因为他们认为,很多VSB并没有全面对自身进行保护,所以攻击得手的几率更大。同所有掠食者一样,网络罪犯会优先选择较弱的目标发动攻击。VSB预算缺乏,员工对安全知识了解较少,所以很容易成为攻击目标。而且针对这些目标发动攻击,被抓住的几率要小得多。
对新起步的企业来说,一场安全事故就很容易让企业破产。根据2013年全球企业IT安全风险调查的相关数据显示,全球范围内,数据泄漏给小型或中型企业造成的损失平均为36,000美元。这一数额包括丢失商机的平均损失以及聘用外部IT安全专家修复安全问题的费用,还包括可能需要购买新设备的费用。对规模很小的企业来说,安全事故造成的5位数的损失将是毁灭性的打击。除了事故发生就面临的损失外,数据泄漏还可能造成长期和不可见的后果,即让客户丧失对企业的信任。
对此,卡巴斯基实验室的安全专家给出如下三点建议:
1、 明白没有企业因为规模小而被网络罪犯所忽视,即使小企业,同样会有知识产权、银行账号。尤其是客户数据。
2、 保持简单——小型企业应该选择针对中小型企业所开发的软件,或者选择知名的、能够提供直观和全面安全保护的安全软件供应商。避免选择那些费用过高,使用复杂的产品。
3、 在关键领域进行投入——在对基础反病毒进行投入后,可以考虑采用数据加密技术。数据加密对处理和存储客户支付信息的企业非常重要,相关法律甚至要求这类企业必须采取数据加密技术。如果加密数据被盗或丢失,网络罪犯也很可能无法获取其中的数据,从而保证客户安全。