区域差异问题
安永《全球资本信心晴雨表》调查结果显示出不同企业的区域差异。例如,与其他国家相比,中国的中型市场企业更担心与网络安全相关的监管处罚威胁。考虑到严格的中国网络安全法于2017年生效,这一结果并不意外。
我们看到的另一个区域问题是,大多数可用的网络安全预算和人才都在美国。在其他市场(包括南美和中美洲、中东、非洲和亚太地区),这些资源比较有限。考虑到世界上大多数人口居住在这些地区,这造成了严重的失衡。
此外,许多美国和欧洲的中型市场企业都使用新兴市场的外包技术或支持,但这些市场的网络安全人才或能力有限。实际上,现在市场上许多可负担的技术创新都来自这些国家。
因此,攻击者相对容易地将自己掩藏或隐藏在新兴市场小型企业中,然后等待中型市场企业来采购其服务。这样,中型市场企业会突然发现自己已经成为特洛伊木马攻击的受害者。
与我们合作的中型市场企业已经了解这种情况,知道这已成为一个严重问题。但是他们通常不知道如何应对,也没有制定适合其业务的安全计划。在大多数情况下,企业都是在网络安全事故发生后,才会制定并实施强大的网络计划。
为中型市场企业提供服务的小型公司,其网络安全性可能更低。因此,中型市场企业必须确保在购买任何软件或服务之前,以及收购较小型公司之前进行相应的检查。
中型企业通常会采用具创新性的方式运作,这往往意味着他们依赖外部聘用的资源,但对于他们整合到自家系统的程序代码,他们并不一定时常检查其代码质素。此外,有不少企业会假设,购买网络连接系统、IT服务和云应用程序时,相关的网络安全软件都已经会随附安装,但实际上并非如此。供应商或会提供这些服务,但是中型企业必须在进行系统或数据整合之前,预先进行检查。实际上,他们不能假设其任何合作伙伴,无论是否提供核心技术的供货商,都拥有适当水平的网络安全系统。
由于存在这些隐患,中型市场企业实在不能忽视来自网络攻击者的威胁。假设您的公司为大型企业提供服务,例如更新智能电表中的硬件等,您可能认为自己不会成为网络犯罪的主要目标,但其实您的公司正是首当其冲的攻击对象。因此,您不能从企业规模或行业的角度去评估风险,而是要思考:“我的企业会对其他企业构成什么风险?”