Search
Close this search box.

中小企業成駭客新目標!盤點企業必備的資安防護 3 大基本觀

【TechOrange 編輯部導讀】經濟部「2022 年中小企業白皮書」指出,2021 年台灣中小企業家數超過 159 萬家,占全體企業逾 98%,創歷年新高。

然而,隨著大企業不斷加強資安防護,駭客正將眼光轉移至中小企業身上,但多數中小企業卻仍沒有做好準備。

中小企業該如何做好基本的資安防護?

資安是全球關注的重要議題,而大企業也都針對關鍵基礎設施進行保護,避免受往物攻擊。不過,並不是只有大企業會受到駭客的攻擊,隨著中小企業開始進行數位轉型,在缺乏資安資源的情況下,越來越多中小企業淪為駭客的攻擊目標。

早已成為駭客的新目標,大多中小企業卻渾然不覺

根據保險公司 Hiscox 2022 年的網路報告,2021 年對大公司的網路攻擊略有下降,但在其他規模的組織中,攻擊反而有所增加,特別是公司員工介於 10 至 49 名的企業,平均攻擊次數增加了近四倍。也就是說,駭客將更多的注意力轉向了中小型企業。而 FBI 的網路犯罪報告指出,2021 年網路犯罪為小企業造成 24 億美元的損失。

然而,大多數的中小企業主認為他們並不會成為網路攻擊的受害者。根據外媒《CNBC》的調查發現,大約有 56% 的中小企業主並不擔心在未來 12 個月內,成為駭客攻擊的受害者。另外,59% 的受訪者則表示他們可以「快速解決網路攻擊」,而 42% 的人則表示他們沒有應對攻擊的計劃。

資安公司 Veracode 的資安長 Sohail Iqbal 表示,由於中小企業在資安方面的控管較弱,且缺乏資源與人才,再加上這些中小企業大多不有名,又容易擔心影響公司的名聲而選擇不報告網路攻擊事件,因此成為了駭客眼中的肥羊。

FBI 監督特別探員 Michael Sohn 也強調,由於大型企業不斷增強他們的資安防護,因此,駭客已開始將目標轉至更容易攻擊的中小企業身上。

資安防護三大基本觀念

台灣在本月通過個資法相關修正草案,要求業者遵行安全維護義務、避免民眾個資外洩。若業者發生個資外洩事件,罰鍰最重新台幣 1000 萬元,並可「按次處罰」。中小企業該如何做好基本的資安防護?以下整理了三大要點。

觀念 #1:養成良好的網路使用習慣

企業應為所有員工建立並實施嚴格的密碼要求,並隨時將軟體自動更新到最新版本。所有遠端用戶和具管理訪問權限的用戶,也應要進行多重要素驗證(MFA)。企業的數據、應用程式和服務,可以考慮使用雲端託管(MSP)服務或是雲端服務供應商(CSP),或是使用軟體即服務(SaaS)的解決方案,如 Google Workspace 或 Microsoft Office 365 等。

觀念 #2:進行員工訓練

超過 90% 的網路攻擊,都是從網路釣魚開始的,因此員工教育也就十分重要了。在點擊任何連結或郵件之前,都要先進行基本的檢查與確認,避免掉入網路釣魚計劃之中。當有任何異常的網路行為出現時,公司也要有可以立刻解決的人力或資源。

觀念 #3:隨時做好準備

當攻擊真的發生,若公司已有制定 SOP 流程,便可以在最快的時間內解決、降低傷害。因此,要先確保關鍵時刻有哪些人員可以使用,接著制定網路攻擊後的計畫,並進行演練,這樣才能確保每一個員工了解他們在事件中扮演的角色。而關鍵數據也要隨時備份,才能確保在攻擊發生後,可以快速恢復關鍵數據。

參考資料:axiosCISA,首圖來源:Photo by Philipp Katzenberger on Unsplash