中小企業(yè)如何給安全“加防”？

數(shù)據(jù)合規(guī)要求嚴苛，數(shù)據(jù)泄露形勢嚴峻

數(shù)字經(jīng)濟作為經(jīng)濟發(fā)展的新動能，成為拉動全球經(jīng)濟增長的新引擎，世界各主要國家已將發(fā)展數(shù)字經(jīng)濟作為重塑核心競爭力的重要舉措，而數(shù)據(jù)作為數(shù)字經(jīng)濟發(fā)展的關(guān)鍵因素，被各國納入法律保護范疇，對企業(yè)提出更高要求。歐盟《通用數(shù)據(jù)保護條例》（簡稱 GDPR）自2018年施行以來，在各行各業(yè)開出近300罰單，罰金合計超4.7億歐元（數(shù)據(jù)來源：enforcementtracker網(wǎng)站），如：

英國航空公司因泄露50萬客戶的個人及信用卡信息，罰款約2億歐元；

萬豪酒店集團也因泄露超3億用戶的個人信息，罰款1.24億歐元；

谷歌因處理個人用戶數(shù)據(jù)時未充分履行其義務(wù)，罰款5000萬歐元；

瑞典某高中因違反數(shù)據(jù)收集目的限制和最小范圍原則，罰款近2萬歐元。

近日，我國也發(fā)布了《數(shù)據(jù)安全法（草案）》，填補該領(lǐng)域立法空白，明確了企業(yè)數(shù)據(jù)安全保護責任和義務(wù)，并提出相關(guān)罰則。

企業(yè)在面對合規(guī)監(jiān)管愈發(fā)嚴苛的同時，也在經(jīng)歷著更加嚴峻的數(shù)據(jù)泄露態(tài)勢。據(jù)2020年Verison數(shù)據(jù)泄露調(diào)查報告（DBIR）顯示，中小企業(yè)與大型企業(yè)面臨著近乎相同的安全風險，在調(diào)研的407件中小企業(yè)網(wǎng)絡(luò)安全事件中，近55%的安全事件伴隨著數(shù)據(jù)泄露。越來越嚴格的合規(guī)要求和日漸嚴峻的數(shù)據(jù)泄露風險，給中小企業(yè)信息安全建設(shè)帶來更大挑戰(zhàn)。

勒索事件頻發(fā)難以防范

在經(jīng)濟利益的驅(qū)動下，勒索病毒成為近年來的主流網(wǎng)絡(luò)安全威脅之一。綠盟科技安全事件響應(yīng)年報顯示，2017至2019年勒索病毒類事件數(shù)量始終占據(jù)熱門網(wǎng)絡(luò)安全事件Top3，雖然2019年事件數(shù)量較上一年減少近15%，但勒索病毒呈現(xiàn)出家族化和高更新迭代速度的特征，并伴隨著勒索金額的持續(xù)走高，如GandCrab勒索病毒1.0版本出現(xiàn)于2018年1月，僅在16個月內(nèi)，版本更新至5.3，勒索金額也從早期的499美元提升至998美元。此外，隨著勒索軟件產(chǎn)業(yè)鏈的形成，勒索軟件即服務(wù)（RaaS）成為熱門黑產(chǎn)盈利模式，黑產(chǎn)從業(yè)者無需惡意軟件開發(fā)的專業(yè)知識，便可發(fā)起勒索活動，這樣低門檻、高收益、傳播方式多元化的特性，讓勒索病毒更加難以防范。