小企業面臨網絡攻擊激增的困境 - 《華爾街日報》

Lisa Ward

2022-06-08

網絡攻擊對小型企業來説越來越普遍，而許多企業並未做好應對攻擊的準備。

疫情期間，隨着小型企業加速採用遠程辦公、通信、生產和銷售的新技術，其擴大的計算機網絡為釣魚軟件和勒索軟件攻擊創造了新的漏洞。但許多小型企業仍不認為自己會成為黑客攻擊的目標，因此防範網絡攻擊在其優先事項清單上排名靠後。

過去幾年間，小型企業遭受攻擊的風險急劇上升。“疫情期間，小型企業遭受攻擊的頻率是大型機構的兩倍，“萬事達卡公司網絡安全與情報部門總裁阿賈伊·巴拉表示。

根據萬事達旗下評估企業網絡安全風險的公司RiskRecon的數據，2020至2021年間，全球小型企業數據泄露事件較前兩年激增152%。同期大型機構的數據泄露事件增長75%。

關注點不同

但在疫情期間出現的諸多問題中，許多小型企業更關注的是如何在勞動力短缺、供應鏈中斷和通貨膨脹等困境中維持生存，而非網絡安全。“我的客户們正擔憂疫情持續影響、用工荒和通貨膨脹問題，“基礎商業概念"公司（為小型企業提供首席財務官服務的機構）老闆瑪麗蓮·蘭迪斯表示。她説客户們目前最關心的並非網絡安全。

一些企業意識到了網絡威脅的存在，卻未意識到自身並未投保相關險種。保險信息研究所發言人洛雷塔·沃特斯表示：“太多小企業仍錯誤地認為其財產和責任險已涵蓋網絡風險。“一般商業保險通常不承保網絡攻擊導致的額外法律費用、數字基礎設施修復及數據恢復成本。

根據《華爾街日報》專業版網絡安全團隊12月發佈的網絡安全專家調查，年收入低於5000萬美元的小型企業中，52%投保了網絡風險保險，而大型企業的這一比例約為75%。

大北方碼頭公司聯合老闆唐恩·梅里安形容此次網絡攻擊"讓我們折壽數年”。圖片來源：《華爾街日報》Tristan Spinski### 代價高昂的攻擊

2020年，黑客從緬因州那不勒斯大北方碼頭公司銀行賬户盜走近25萬美元時，該公司僅投保了普通商業保險。由於保險未賠付大部分損失，該公司最終承擔了21.8萬美元損失，包括被盜資金、與銀行交涉的法律費用、聘請數字取證專家追溯事件根源及制定防範措施的費用，以及新IT基礎設施成本。

與丈夫共同經營該公司的唐恩·梅里安表示，除經濟損失外，釐清事件後續應對措施也困難重重，整個過程中彷彿孤立無援。“這場風波讓我們折壽數年，“她説道。該公司現已投保網絡保險。

相比之下，總部位於佛羅里達州奧茲馬市的鋁製品製造企業MI Metals公司去年七月遭遇勒索軟件攻擊時，其購買的網絡安全保險發揮了作用。保險公司立即派遣專家團隊前往MI Metals的工廠和總部，迅速確認攻擊者並未竊取員工檔案或客户賬户等敏感信息。公司所有者布魯克·馬西在得知核心數據未泄露後，依靠家中硬盤備份的公司數據，果斷拒絕了攻擊者索要240萬美元比特幣贖金的要求。

保險公司最終向MI Metals支付了約18萬美元，用於支付律師費、硬盤更換、取證專家費用及新軟件採購等支出。

成本攀升

儘管網絡安全保險對遭受攻擊的小企業至關重要，但其保費正日益昂貴且承保門檻不斷提高。批發保險公司ProWriters首席執行官布萊恩·桑頓表示：“自疫情以來，小企業網絡安全保險年保費漲幅達10%至15%。“價格並非唯一障礙，桑頓指出：“由於核保要求收緊，被拒保的小企業比例正在上升。”

達信保險經紀公司東南區高管責任與網絡業務負責人麗莎·迪金森透露，核保方過去僅對大型企業實施網絡安全協議審查，如今正將同等標準逐步擴展到中小企業。

例如，企業可能現在需要為系統管理員和其他員工，以及能夠訪問公司網絡的供應商或第三方實施多因素認證，作為購買網絡保險的前提條件。多因素認證降低了網絡犯罪分子利用竊取的憑證訪問網絡的風險。保險公司還可能要求小企業對備份數據進行加密，並制定應對網絡攻擊的響應計劃。

迪金森女士表示，這種情況尤其適用於年收入在2500萬至5000萬美元之間的公司，這些公司遭受攻擊的可能性以及索賠的潛在數額都高於較小規模的企業，以及在疫情期間遭受網絡攻擊嚴重的行業（如製造業）中運營的公司。

小企業或許可以通過從銷售保險的技術公司（業內稱為保險科技公司）購買保單，來跳過一些承保要求。

保險科技公司很大程度上通過使用人工智能自動化承保流程，這有助於降低成本。例如，人工智能會檢查公司的網絡以自動評估其安全風險。具體來説，人工智能會尋找過時或包含已知黑客漏洞的軟件，並分析託管公司網站的組織機構的安全性。

但這裏也存在障礙。保險科技公司發行的網絡保險通常前期承保要求不那麼繁瑣，使得獲取更容易，但會要求小企業定期改善其網絡安全作為維持保險覆蓋的前提。這或許能幫助企業加強防禦，但迪金森女士表示，對於那些更專注於業務其他領域的小公司來説，這可能是一個難以接受的條件。

沃德女士是佛蒙特州的一位作家。可以通過[email protected]聯繫到她。

刊登於2022年6月8日的印刷版，標題為《小型企業面臨網絡攻擊增加的困境》。