安達給您業務的卓見

小公司不在網路攻擊者的攻擊範圍內

Stanley Wong - The Edge SME Forum 2017, Kuala Lumpur

人們還未淡忘今年5月WannaCry勒索病毒(ransomware)所造成的傷害,這波攻擊不但造成數十億美元的損失,還可作為警世故事,提醒人們所有連上網路的裝置都是潛在的攻擊目標。

在吉隆坡近日舉辦的2017年Edge SME論壇上,安達亞太地區私人有限公司金融事務區域經理Stanley Wong在500名聽眾面前談道,在所有企業準備好要擁抱工業4.0時,也應該尋求自保之道。

Wong認為,中小企業(small and medium enterprises,SMEs) 間普遍存在一種錯誤認知,認為自身規模太小,所以不會成為攻擊者鎖定的目標,因此也就不需要網路保護。

網路攻擊的目標並不僅限於資訊科技企業或大型企業,Wong認為,「統計結果顯示健康醫療部門受到網路攻擊的影響最甚,醫院機構持有你的所有個資,包括信用卡資訊。」

根據安達於過去10年來所累積的全球保險請領資料(claim data),健康醫療部門的請領個案居2015年10月之首,佔通報總數的30%,接下來分別是:佔14%的專業服務業、佔11%的科技業、佔9%的零售業以及佔7%的金融機構。

很明顯地,網路攻擊者在掠奪個資時毫不留情,沒有哪個部門可以倖免。Wong強調,「我們有個客戶遭受WannaCry勒索病毒的攻擊,攻擊者向他們勒索價值300美元的比特幣,相較於未付贖金可能帶來的資訊損失,這筆錢可能不算什麼,但是馬來西亞有多企業真的使用比特幣往來?又有多少企業真的了解加密貨幣(cryptocurrency)?」

網路安全產品及方案供應商賽門鐵克(Symantec)所做的報告指出,只要透過物聯網(internet of things)裝置的殭屍網路(botnet)就可以發動去年所發生的那些網路攻擊,包括:造成數百萬美元損失的虛擬銀行搶案、國家資助團體對美國大選的干預,以及數起有史以來最大宗的分散式阻斷服務攻擊(distributed-denial-of-service,DDoS)。

2017年《網路安全威脅研究報告》(Internet Security Threat Report,ISTR)指出,勒索病毒寄發巨量惡意電子郵件來發動無差別攻擊,成為困擾企業和消費者的常見威脅之一。該報告還指出,「攻擊者對受害者越來越需索無度,相較於2015年贖金金額的平均為294美元,去年則為1077美元。」

Wong引用2016年ISTR報告的數據指出,針對只有250名雇員的小型企業所發動的攻擊,在2011年只有18%,到了2015年卻驟增為驚人的43%。同時,針對雇員人數超過2500人的大型企業的攻擊,則由2011年的50%降至2015年的35%。

Wong認為,美國看起來是最容易成為攻擊目標的國家,這是因為美國法律要求企業在受攻擊時必須告知消費者,相對地,其他地區所發生的網路攻擊有時候則並未被通報。

Wong解釋道,「大型企業至少付得起贖金,也擁有自己的團隊可以監控這些攻擊。對小型企業而言,這就是另一回事了,若有安裝防護軟體,你必須持續更新該軟體以確保網路系統安全無虞,但是如果你的雇員忘記更新呢?暴露在風險之下的是你,而不是軟體供應商。」

Wong補充道,網路保險會補償企業聘請數位鑑識公司(forensics firm)和知會消費者的清理成本,有些保單也涵蓋法務和聘請危機管理公司的費用。若發生勒索病毒攻擊事件,在進行調查的同時還全額支付贖金。

本文由Pathma Subramaniam撰寫 / 《The Edge Malaysia》.
本文首先刊登於《The Edge Malaysia》週刊中的企業版(2017年7月24日到7月30日)

相關文章

購買網路保險時的重要訣竅
購買網路保險時的重要訣竅
理解網路:多面向的風險
理解網路:多面向的風險
聯絡我們

有疑問或需要更多資料?聯絡我們以了解我們可如何協助您在潛在的風險中提供保障。