小公司不在網路攻擊者的攻擊範圍內

人們還未淡忘今年5月WannaCry勒索病毒(ransomware)所造成的傷害，這波攻擊不但造成數十億美元的損失，還可作為警世故事，提醒人們所有連上網路的裝置都是潛在的攻擊目標。

在吉隆坡近日舉辦的2017年Edge SME論壇上，安達亞太地區私人有限公司金融事務區域經理Stanley Wong在500名聽眾面前談道，在所有企業準備好要擁抱工業4.0時，也應該尋求自保之道。

Wong認為，中小企業(small and medium enterprises，SMEs) 間普遍存在一種錯誤認知，認為自身規模太小，所以不會成為攻擊者鎖定的目標，因此也就不需要網路保護。

網路攻擊的目標並不僅限於資訊科技企業或大型企業，Wong認為，「統計結果顯示健康醫療部門受到網路攻擊的影響最甚，醫院機構持有你的所有個資，包括信用卡資訊。」

根據安達於過去10年來所累積的全球保險請領資料(claim data)，健康醫療部門的請領個案居2015年10月之首，佔通報總數的30%，接下來分別是：佔14%的專業服務業、佔11%的科技業、佔9%的零售業以及佔7%的金融機構。

很明顯地，網路攻擊者在掠奪個資時毫不留情，沒有哪個部門可以倖免。Wong強調，「我們有個客戶遭受WannaCry勒索病毒的攻擊，攻擊者向他們勒索價值300美元的比特幣，相較於未付贖金可能帶來的資訊損失，這筆錢可能不算什麼，但是馬來西亞有多企業真的使用比特幣往來？又有多少企業真的了解加密貨幣(cryptocurrency)？」

網路安全產品及方案供應商賽門鐵克(Symantec)所做的報告指出，只要透過物聯網(internet of things)裝置的殭屍網路(botnet)就可以發動去年所發生的那些網路攻擊，包括：造成數百萬美元損失的虛擬銀行搶案、國家資助團體對美國大選的干預，以及數起有史以來最大宗的分散式阻斷服務攻擊(distributed-denial-of-service，DDoS)。

2017年《網路安全威脅研究報告》(Internet Security Threat Report，ISTR)指出，勒索病毒寄發巨量惡意電子郵件來發動無差別攻擊，成為困擾企業和消費者的常見威脅之一。該報告還指出，「攻擊者對受害者越來越需索無度，相較於2015年贖金金額的平均為294美元，去年則為1077美元。」

Wong引用2016年ISTR報告的數據指出，針對只有250名雇員的小型企業所發動的攻擊，在2011年只有18%，到了2015年卻驟增為驚人的43%。同時，針對雇員人數超過2500人的大型企業的攻擊，則由2011年的50%降至2015年的35%。

Wong認為，美國看起來是最容易成為攻擊目標的國家，這是因為美國法律要求企業在受攻擊時必須告知消費者，相對地，其他地區所發生的網路攻擊有時候則並未被通報。

Wong解釋道，「大型企業至少付得起贖金，也擁有自己的團隊可以監控這些攻擊。對小型企業而言，這就是另一回事了，若有安裝防護軟體，你必須持續更新該軟體以確保網路系統安全無虞，但是如果你的雇員忘記更新呢？暴露在風險之下的是你，而不是軟體供應商。」

Wong補充道，網路保險會補償企業聘請數位鑑識公司(forensics firm)和知會消費者的清理成本，有些保單也涵蓋法務和聘請危機管理公司的費用。若發生勒索病毒攻擊事件，在進行調查的同時還全額支付贖金。

本文由Pathma Subramaniam撰寫 / 《The Edge Malaysia》. 本文首先刊登於《The Edge Malaysia》週刊中的企業版(2017年7月24日到7月30日)