中小企業成網絡勒索目標：你的網絡安全足夠堅固嗎？ | 聯合早報

2024年，勒索軟件攻擊頻發。在新加坡，六成以上涉及中小企業，使它們面臨聲譽受損和客户信任度降低的風險。新加坡網絡安全局提供實用工具和支援計劃，助企業強化網絡防禦，降低風險。

2023年，一場精心策劃、環環相扣的網絡騙局，讓*ZTK工程公司蒙受了18萬元的重大損失。

這家擁有130名員工的本地中小企業先是遭遇勒索軟件攻擊，使得該公司系統癱瘓：公司數據庫被惡意加密，業務瞬間停擺，導致多個項目延誤，並影響了客户關係。儘管如此，公司並未支付8萬元贖金換取解密鑰匙，而是選擇評估破壞程度、恢復丟失數據，從頭開始重建系統和數據庫。

這還不是最糟糕的情況。

網絡犯罪分子悄無聲息地竊取了公司的敏感郵件和數據，並挖掘他們的通信內容以獲取有價值的信息。三個月後，網絡犯罪分子冒充一家備受信賴的供應商，發送了一封看似可信的偽造郵件，提供半價優惠欲銷售剩餘的鋼板。

公司將18萬元轉賬支付“供應商”後，才發現上當受騙。公司總裁*劉先生事後反思道：“我們不清楚網絡犯罪分子竊取了什麼信息，也不知道他們接下來會做什麼。”這意味着，即使在勒索軟件事件發生後進行了內部調查，但由於調查不夠深入，公司仍然面臨持續的安全風險。“如果我們一開始就通知了相關部門並實施了更嚴格的安全系統，我們本可以避免這些麻煩。”

本地勒索軟件攻擊 過半瞄準中小企業

上述事件是網安局發佈的《2023年新加坡網絡概況報告》中的一例。報告揭示，勒索軟件已成為本地企業最常見的網絡安全威脅。2024年，網安局收到的報告案件比2023年增加了近20％，但實際受影響的企業可能更多，因為許多公司並未申報這類攻擊事件。

勒索軟件的日益增長，已經成為本地企業主的隱憂，涵蓋中小企業，特別是微型企業。由於資源有限，小企業往往難以實施網絡安全措施。

網安薄弱的中小企業就像一座防禦鬆散的城堡，極易受到攻擊。

點擊下方閃動圖標，揭開勒索軟件的常見誤區，瞭解真相為何。

遭遇網絡攻擊？支付贖金並不能真正保護你的商業王國。

點擊下方閃動圖標，瞭解哪些錯誤決策可能正在削弱你的防禦。

你並不孤單！許多中小企業還未了解如何強化網絡安全。

點擊下方閃動圖標，探索可幫助你強化企業網絡安全的工具與資源。

AI時代犯罪手段進化 防禦力度需全面提升

勒索軟件正迅速升級為全球企業的重大威脅。一個典型的例子就是與俄羅斯有關的網絡犯罪組織Akira，自2023年3月以來已攻擊了超過350個目標企業，從中勒索了約4200萬美元（約合5700萬新元）。雖然它的攻擊目標包括知名機構，如日清集團和斯坦福大學，但其中80％的受害者是中小企業。在新加坡，相關部門也收到了多起機構因網絡犯罪組織Akira而受到影響的報告，併為此發佈了聯合公告，提醒各界提高警惕，加強防範。

提到本地的勒索軟件事件，製造業和建築業受影響最為嚴重，主要原因是這些行業通常全天候運營，鮮有時間進行重要的系統安全更新。然而，勒索軟件的威脅不容忽視，無論任何企業都不能心存僥倖。如果事件牽涉到客户，企業長期建立的關係和聲譽也可能受到損害。此外，高昂的恢復成本和業務中斷將帶來嚴重影響。

近年來，網絡犯罪分子以勒索軟件即服務（Ransomware-as-a-Service，簡稱“RaaS”）的形式運作，向有意從事不法活動的人提供現成的攻擊工具，並從中抽取勒索款項的分成。這種模式大大降低了發動攻擊的技術門檻，同時也增加了防範的難度。

隨着科技的飛速發展，尤其是人工智能的崛起，網絡安全威脅的格局也在不斷演變。網安局加強網絡空間安全司司長陳婉玲指出：“如今，越來越多企業轉型數碼化，網絡犯罪分子也在利用人工智能製造更加逼真的釣魚郵件。一旦成功，便可能引發勒索軟件攻擊。因此，加強網絡防禦已成為當務之急。”

防患未然 被動應對不如主動防衞

許多小型企業在防範網絡攻擊方面的能力仍然薄弱。根據網安局的一項調查報告，每三家機構中就有兩家未能全面落實必要的網絡安全措施。這就像為一間房子安裝了昂貴的防盜門，卻忽略了關閉窗户，留下了安全隱患。阻礙機構落實網絡安全措施的主要挑戰包括：59％的機構缺乏相關知識或經驗，39％面臨人手或資源不足的問題，31％則受限於預算不足。

針對這些挑戰，網安局為企業提供了多種支持。首先，網安局的網絡安全健康檢查（Cybersecurity Health Check）工具，快速評估其網絡安全狀況。只需10分鐘，企業即可與同行進行對比，並獲得改進建議和相關資源。

對於缺乏網絡安全知識或專業人員的公司，尤其是中小企業，陳婉玲建議它們利用網安局的首席信息安全官數碼諮詢服務（CISO-as-a-Service）計劃。她解釋道：“該計劃為中小企業提供了一份經過預先篩查的合格網絡安全顧問名單，這些顧問可以充當企業的首席信息安全官。專家們將檢查公司的網絡健康狀況，找出潛在弱點，併為企業制定計劃以消除這些網絡安全漏洞。正如健康檢查一樣，預防勝於治療。”

在預算方面，符合條件的中小企業在僱用網絡安全顧問服務時，可獲得網安局高達70％的共同出資支持。這些措施有望幫助中小企業獲得全國性的網絡安全基本能力標誌（Cyber Essentials Mark）認證，從而向合作伙伴和客户展示其具備良好的網絡保護措施。

遭遇網絡攻擊 儘快求助減少損失

一旦企業遭遇網絡攻擊，應儘快尋求專業協助並及時通報相關部門，這有助於加速恢復進程，將損害降至最低。網安局與新加坡警察部隊聯合設立了專門針對勒索軟件的自助平台，提供通報、解密工具、趨勢分析等信息，幫助企業更好地應對網絡威脅。

網安局也鼓勵企業訂閲電腦緊急反應組（SingCERT）的警報或公告，這樣不僅能及時收到當局發出的最新網絡安全信息，還能採納當局建議的應對措施。

*企業和個人的名稱已改成化名，以保護他們的隱私。

【本文由新加坡網絡安全局呈獻】