網(wǎng)絡(luò)犯罪者對(duì)于企業(yè)來(lái)說(shuō)，他們會(huì)認(rèn)為太小而不值得花費(fèi)力氣。小型企業(yè)雖然不像一般大企業(yè)那么受人矚目，但小型企業(yè)也無(wú)力承擔(dān)輕忽網(wǎng)絡(luò)犯罪威脅的代價(jià)。盡管外界流傳著小型企業(yè)對(duì)這類安全威脅免疫的說(shuō)法，但現(xiàn)在該是正視問(wèn)題的時(shí)候了。

1. 任何企業(yè)組織，不論規(guī)模大小，都可能成為網(wǎng)絡(luò)犯罪的受害者。

大多數(shù)的小型企業(yè)都不相信自己會(huì)成為網(wǎng)絡(luò)犯罪的目標(biāo)。根據(jù) Visa Inc. 與 National Cyber Security Alliance 一項(xiàng)針對(duì) 1,000 位小型企業(yè)老板的調(diào)查，有 85% 的老板相信大型企業(yè)比他們更容易成為目標(biāo)。

超過(guò)一半 (54%) 的受訪者有自信他們的準(zhǔn)備比大型企業(yè)更充份，更有能力保護(hù)公司與客戶資料。小型企業(yè)或許會(huì)認(rèn)為：網(wǎng)絡(luò)犯罪通常不是鎖定很大的企業(yè)，就是鎖定一般消費(fèi)者，因此自己不可能成為歹徒的目標(biāo)。

然而，事實(shí)上，只要是有利可圖而且利潤(rùn)豐厚，網(wǎng)絡(luò)犯罪者才不管是超大型企業(yè)、小型企業(yè)或一般消費(fèi)者。他們對(duì)任何目標(biāo)都一視同仁。只要是系統(tǒng)存在著安全漏洞，任何目標(biāo)對(duì)網(wǎng)絡(luò)犯罪來(lái)說(shuō)都是一樣的。

2. 小型企業(yè)同樣也擁有網(wǎng)絡(luò)犯罪者所感興趣的信息。

小型企業(yè)或許會(huì)認(rèn)為他們的內(nèi)容安全威脅并不像大型企業(yè)那么嚴(yán)重。但事實(shí)上，根據(jù) Council of Better Business Bureaus 在 2010 年 5 月所發(fā)表的研究，7.4% 的小型企業(yè)老板都曾經(jīng)遇到網(wǎng)絡(luò)詐騙。

小型企業(yè)同樣也擁有員工和客戶信息，因此就各方面來(lái)說(shuō)，同樣也是網(wǎng)絡(luò)犯罪的重要目標(biāo)。從身分證號(hào)碼到網(wǎng)絡(luò)銀行帳號(hào)密碼都是歹徒所覬覦的資料 (完整的失竊資料排名請(qǐng)參考下圖)。

3.網(wǎng)絡(luò)犯罪者平均每一秒釋出 3.5 個(gè)專門攻擊小型企業(yè)的新威脅。

根據(jù)報(bào)告指出，專門針對(duì)小型企業(yè)的網(wǎng)絡(luò)攻擊數(shù)量在 2010 年初竄升了 600%。專家表示，此現(xiàn)象的背后至少有兩項(xiàng)因素。首先，規(guī)模較大的企業(yè)皆已投入更多資金來(lái)加強(qiáng)互聯(lián)網(wǎng)安全，迫使網(wǎng)絡(luò)犯罪者將目標(biāo)轉(zhuǎn)向同樣有利可圖的小型企業(yè)。

其次，小型企業(yè)數(shù)量龐大，光是美國(guó)境內(nèi)就有超過(guò) 2 千 5 百萬(wàn)家小型企業(yè)。除此之外，小型企業(yè)還有一項(xiàng)吸引網(wǎng)絡(luò)犯罪者的原因，那就是小型企業(yè)沒(méi)有足夠的預(yù)算可以聘請(qǐng)專門的 IT 團(tuán)隊(duì)，更不用說(shuō)成立專責(zé)部門，來(lái)維持信息安全。

曾經(jīng)有小型企業(yè)因?yàn)橛龅骄W(wǎng)絡(luò)犯罪而損失數(shù)十萬(wàn)美元，而歹徒所用的工具就是 僵尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò) Botnet 程序。Bot 程序是一種會(huì)暗中潛入個(gè)人電腦的惡意程序，一旦潛入，歹徒就能從遠(yuǎn)端遙控電腦并竊取重要資料而不被員工或客戶發(fā)覺。

2011 年 1 月，美國(guó)聯(lián)邦調(diào)查局 (FBI) 在一份報(bào)告中指出，有一家美國(guó)企業(yè)因?yàn)橛|發(fā)了電子郵件所挾帶的惡意程序而自動(dòng)從銀行帳戶轉(zhuǎn)出了 15 萬(wàn)美元給歹徒。該惡意程序就是 ZeuS/ZBOT 家族的木馬程序之一，此惡名昭彰的惡意程序家族專門詐騙小型企業(yè)。

趨勢(shì)的專家也曾見過(guò)專門針對(duì)小型企業(yè)而設(shè)計(jì)的網(wǎng)絡(luò)釣魚Phishing攻擊和漏洞攻擊。這類詐騙經(jīng)常利用一些稅務(wù)相關(guān)的電子郵件，并且假冒政府機(jī)關(guān)的名義，其手法通常是利用客戶投訴或威脅采取法律行動(dòng)來(lái)引起被害人恐慌。而漏洞攻擊則是專門攻擊常見合法應(yīng)用程序的漏洞。

只要小型企業(yè)能確保每一位員工 (不論技術(shù)程度如何) 都能隨時(shí)掌握網(wǎng)絡(luò)犯罪的最新動(dòng)態(tài)，就更能防范上述攻擊。企業(yè)應(yīng)該教育員工有關(guān)最新的詐騙手法，鼓勵(lì)員工養(yǎng)成良好習(xí)慣，例如：只要是來(lái)路不明的可疑郵件，千萬(wàn)不要回覆，也不要開啟附件檔案，更不要點(diǎn)選其中的連結(jié)。

此外，小型企業(yè)最好能貫徹一套內(nèi)部安全政策來(lái)強(qiáng)化其網(wǎng)絡(luò)安全與銀行交易操作原則。最后，小型企業(yè)也必須時(shí)時(shí)提高警覺，小心防范可疑的網(wǎng)絡(luò)活動(dòng)，并且做好應(yīng)變的準(zhǔn)備，以防萬(wàn)一真的遭到歹徒入侵。

4. 盡管遵規(guī)需要高昂的成本，但未遵守法規(guī)的可能代價(jià)更高，而且讓網(wǎng)絡(luò)犯罪有機(jī)可乘。

并非所有的小型企業(yè)都已意識(shí)到遵規(guī)的問(wèn)題。有些甚至認(rèn)為自己的企業(yè)已經(jīng)符合法規(guī)要求，并且已做好安全措施。然而，根據(jù) 2011 年發(fā)表的一份中小企業(yè) (SMB) 資料安全與詐騙預(yù)防策略調(diào)查顯示，美國(guó)有將近一百萬(wàn)家小型企業(yè)皆曾經(jīng)是資料安全詐騙的受害者。

不遵循法規(guī)的結(jié)果，最終可能導(dǎo)致生產(chǎn)力損失、業(yè)務(wù)中斷以及高昂的法律成本。對(duì)于跨國(guó)性的企業(yè)來(lái)說(shuō)，遵規(guī)的成本大約在 350 萬(wàn)美元之譜5，相對(duì)于不遵循法規(guī)的潛在損失，這只不過(guò)是小小的代價(jià)。小型企業(yè)如果以為自己不必遵守資料保護(hù)法規(guī)，那就大錯(cuò)特錯(cuò)。如同大型企業(yè)，小型企業(yè)也需處理人員、流程與技術(shù)的問(wèn)題，而這些層面的網(wǎng)絡(luò)犯罪威脅與大型企業(yè)沒(méi)什么不同。

5. 小型企業(yè)正逐漸邁向云端，也開始擁抱云安全，但網(wǎng)絡(luò)犯罪者也不是省油的燈。

云端運(yùn)算已經(jīng)不再是一種口號(hào)，而是既成的事實(shí)。今日中小企業(yè)整體云端市場(chǎng)價(jià)值大約在 86 億美元左右6 ，而且在 2014 年將達(dá)到1,000美元之譜。此外，高達(dá) 74% 的中小企業(yè)打算在 2011 年提高他們的云端式軟體支出，這一點(diǎn)比 2010 年底的情況明顯大幅增加，而當(dāng)時(shí)中小企業(yè)采用云端運(yùn)算的比例大約只有 14%。

盡管整體上有所進(jìn)展，但小型企業(yè)在云端安全上的支出仍不算充裕。根據(jù) Forrester 在 2010 年發(fā)表的一篇報(bào)告，雖然 84% 的小型企業(yè)都認(rèn)為資料安全很重要，但卻只有大約三分之一 (36%) 的受訪者打算增加他們的網(wǎng)絡(luò)安全支出，而且也僅增加 5% 左右。

網(wǎng)絡(luò)犯罪越發(fā)的嚴(yán)重，這與網(wǎng)絡(luò)技術(shù)的發(fā)展有著一定的關(guān)系，但是，網(wǎng)絡(luò)技術(shù)的研發(fā)和發(fā)展是為了我們能夠擁有一個(gè)安全可靠地上網(wǎng)環(huán)境，希望我們每一位公民都有一份責(zé)任心，共同維護(hù)大家的利益是我們的責(zé)任。

【編輯推薦】

1. 回顧網(wǎng)絡(luò)犯罪十年歷程
2. ATM提款機(jī)也難逃網(wǎng)絡(luò)犯罪者魔掌
3. 全球五大網(wǎng)絡(luò)犯罪分子之一中計(jì)落網(wǎng)
4. ISP如何協(xié)助對(duì)抗僵尸網(wǎng)絡(luò)與網(wǎng)絡(luò)犯罪？
5. 網(wǎng)絡(luò)犯罪愈演愈烈 誰(shuí)該為此承擔(dān)責(zé)任?