中小微企业在安全建设中存在哪些重要误区？

想要了解相关问题，可以下载报告《2022年中小微企业数字安全报告》查看，以下内容都是根据该报告总结的，仅供参考。

（一）误区一：中小微企业认为规模小，就不会是攻击目标

与网络攻击集中在大型企业组织的认知相反， 所有企业都可能受到类似的攻击，无论其规模和存 储的信息如何，只要企业拥有数字资产和业务，或 者是重要系统供应链中的一环，那么企业就可能成 为攻击目标，而且越是安全投入不足的薄弱环节越 会成为优先攻击目标。大多数攻击并非由国家背景 的黑客组织实施，而是由普通黑客发起的，他们寻 找容易的猎物和低垂的果实。因此，由于中小微企业没有健全的数字安全措施， 网络犯罪分子可能认为他们更容易入侵，反而会将 中小企业作为攻击目标。此外，由于许多中小微企业为大型组织提供服 务，所以入侵中小微企业并以之为跳板将成为网络犯罪分子攻击大型组织（乃至供应链）的一种方式。

（二）误区二：中小微企业已经为数字安全做好准备。

调查结果显示[26]，90%的受 访者认为他们的企业能够在一个工作日内检测到攻 击，84%的受访者认为他们的企业可以在 24 小时内 从网络攻击中恢复业务。然而，这只是许多中小企 业对自身网络安全防护的过度自信。实际上，相关 行业研究报告显示亚太地区中小企业所遭受的攻击 的平均潜伏时间（从首次入侵到被发现）为 54 天， 与上述受访问的中小企业自身感受明显不一致。同 时，调查结果也披露，只有 27%的中小企业拥有专 门的网络安全团队，20%的中小企业没有相关的内部 专业知识，只有 53%的中小企业部署了防病毒解决方案。

（三）误区三：中小微企业认为数字安全不会 造成潜在生存威胁

目前，一个很重要的问题是中小微企业没有充 分关注数字安全所带来的潜在生存威胁，导致很多 中小微企业对数字安全建设不坚定，既没有在企业 内部建立数字安全意识文化，也没有在数字安全上投入足够的资金。而数字安全事件实际上会给中小微企业造成巨 大的经济损失，并能够严重威胁到中小微企业的生存。Vodafone 在 2021 年初发布的研究结果显示，41%的 英国中小企业在过去 12 个月内遭受过网络攻击，其 中 20%遭受过多次攻击，并警告多达 130 万家英国中 小企业在成为网络攻击的受害者后可能会完全倒闭。 而欧盟网络安全局也表示，三分之一的中小企业在过 去五年中经历过网络事件，其中一半的人认为一个严 重的安全事件就可能彻底摧毁企业。

（四）误区四：中小微企业不会面临大型企业 所关注的数字安全威胁

在思科 2020 中小企业安全报告中，比较了中小 企业和大型企业在过去一年内遭受的攻击类型，以 及攻击造成的停机时间（营业时间损失），并对最可能造成 24 小时以上停机时间的事件进行了排名。调 查结果显示[28]，勒索软件对各种规模的企业都“一 视同仁”，勒索软件都是最可能导致 24 小时以上系 统停机时间的头号威胁；DDoS 很少会对规模较小的 企业产生最严重的影响，但 DDoS 对于模较大的企业 是第三大破坏性攻击类型；网络钓鱼对于中小企业 来说是一个大问题，但对规模较大的企业而言，网 络钓鱼的影响显著减小。 可见，中小微企业和大型企业面临的威胁存在 很多相同之处，但在具体影响效果方面存在不同， 所以中小微企业既需要关注当前主流数字安全威 胁，还需要根据自身风险情况对企业数字安全建设 进行优先事项排序。

（五）误区五：中小微企业认为威胁主要来自于外部

中小微企业往往依托员工开展安全防护和响 应，但不能忽视的事实是数字安全威胁往往通过员 工入侵企业。网络钓鱼电子邮件等社会工程手段也 正在变得越来越难以发现。钓鱼信息通常是专门定制，内容非常准确，有说服力和针对性。即使企业 对员工开展了安全培训，对数字安全风险有了一定 认知，但是还不能完全避免相关攻击。根据《2021 年勒索软件状况》报告，22%的组织认为，由于很难 防止员工被攻击者利用，他们在未来 12 个月内将遭 到勒索软件的攻击。普华永道的亚太地区中小企业 网络安全调研也发现，中小企业中 36%的数据泄露 事件由员工或承包商的疏忽导致。