过去一年中有一半的小型企业遭受网络攻击

网络安全已成为中小企业 (SME) 最关心的问题，近一半 (48%) 的中小企业在过去一年中至少经历过一次网络事件。

这是根据会计和薪资软件提供商 Sage 的一项新调查得出的。

Sage 的客户之一罗氏医疗保健公司 (Roche Healthcare) 是最近遭遇此类事件的中小企业之一。罗氏发言人辛迪·克莱斯比 (Cindy Cleasby) 在伦敦举行的 Sage 活动中分享了她的经历：“在我们决定更换数据托管服务器两个月后，与我们合作、托管我们大部分数据的提供商遭到了网络攻击。他们关闭了系统六个月，这意味着我们必须在此期间手动完成很多工作，包括发票。”

Sage 调查的一些公司更不幸，四分之一（25%）的受访者表示，他们在一年内经历了多次网络攻击。

网络安全是中小企业的首要任务

根据 Sage 的调查《中小型企业的网络安全：应对复杂性并构建弹性》，大多数中小型企业已经制定了网络安全态势。例如，81% 的企业实施的不仅仅是简单的基本安全控制措施。

很大一部分中小企业也有发展网络弹性的意识，58% 的中小企业表示他们正在备份数据。

报告中的其他调查结果还显示，网络安全是中小企业的首要任务之一，三分之二的受访者估计网络安全是其文化的一部分，十分之四的受访者表示他们经常讨论网络安全。

中小企业网络安全面临哪些挑战？

数字化转型的复杂性使得小型企业很难保持安全领先。

远程工作是一项重大挑战：虽然 81% 的英国受访者表示他们有一套流程来管理远程员工的网络安全风险，但只有 53% 的受访者密切关注该流程。四分之一 (25%) 拥有远程工作安全流程的英国公司承认，他们的一些员工没有遵守该流程。

同样，云迁移给中小企业带来了许多挑战。Sage 调查中超过一半 (52%) 的受访者表示，出于安全原因，他们对使用云服务并不完全有信心。

利兹圣乔治教堂的财务管理员 Kathryn Heath 表示，对于像她这样的组织来说，管理这些复杂的 IT 环境感觉“相当混乱”。

“我开始觉得我所知道的已经足够让我担心了。例如，在与负责我们系统安全的人员交谈之前，我并没有充分了解我们的系统（包括云、数据存储、驱动器和我们正在运行的定制软件）有多复杂，”她在伦敦活动期间说道。

“我们最近为我们的预订管理系统引入了一位新承包商。对功能、价格、客户易用性和商业利益进行了大量研究，但我不记得安全性是讨论的一部分。我们假设，如果我们选择一家信誉良好的提供商，那里就会有良好的安全措施。”

与此同时，网络威胁形势也在迅速发展，网络钓鱼变得更有针对性，勒索软件也变得更加复杂。

这是中小企业最关心的问题之一，一半 (51%) 认为掌控新的网络威胁是他们最大的挑战。

中小企业需要更多支持来改善其网络状况

尽管中小企业在跟上技术及其所带来的当今网络威胁方面不知所措，但 Sage 调查还表明，他们愿意改善自己的安全状况。

例如，68% 的受访者表示，如果供应商表现出卓越的安全性，他们会使用更昂贵的供应商。

中小企业无法单独提高网络安全。超过一半（52%）的受访者表示，他们希望得到政府的更多支持，特别是在提高网络安全意识和部署安全培训方面。

《通用数据保护条例》(GDPR) 被认为是监管有助于推动网络安全的一个例子。

“当然，GDPR 给我们带来了很多麻烦，但它也给了我们一些安心，因为它提供了一套明确的实施措施和满足条件，”Heath 说。

克莱斯比对此表示同意，并补充说，在罗氏医疗保健公司，网络安全措施主要由数据保护官 (DPO) 推动，该职位是 GDPR 引入的。

英国政府向中小企业提供哪些网络​​资源？

虽然英国政府不打算实施类似 GDPR 的网络安全立法，但英国科学、创新和技术部 (DSIT) 网络弹性副主任艾玛·格林 (Emma Green) 在 Sage 活动期间表示，他们正在调查原因该国中小企业的网络安全投资减少。

“在经历了多年的缓慢增长之后，这是我们第一次看到中小企业的网络安全投资出现下降，也是我们第一次看到大型组织之间存在如此大的差异，大型组织往往会在网络安全方面继续逐年增加投资，中小企业。我本月将与伦敦经济学院 (LSE) 的人员举行会议，他们正在为我们进行研究，以更深入地研究这一现象。”

尽管大多数中小企业的安全预算最近有所减少（主要是由于经济不确定性和生活成本上升），但 Sage 调查的 91% 的受访者认为，未来几年安全预算将会增加。

与此同时，格林表示，英国政府不断推行基于风险的网络安全方法，并为包括中小企业在内的任何组织提供各种资源，以改善其网络安全状况。

英国政府提供的资源包括：

• 小型企业指南：网络安全：来自英国国家网络安全中心 (NCSC) 的免费资源，旨在帮助小型企业保护自己免受最常见的网络攻击。该指南包括许多实用的提示和建议，例如如何选择好的密码管理器和识别网络钓鱼电子邮件。
• Cyber​​ Essentials：一项政府支持、行业支持​​的计划，旨在帮助组织保护自己免受常见的在线威胁。它是所有组织都应该采取的五项基本技术控制措施，以防范最常见的网络威胁并展示其对网络安全的承诺：边界防火墙和互联网网关、安全配置、访问控制、恶意软件防护和补丁管理。
• 预警：NCSC 提供的一项免费服务，可尽快向组织通报其网络上潜在的网络攻击。
• 网络顾问：一项为中小企业提供可靠且具有成本效益的网络安全建议和实际支持的计划。该计划允许 NCSC 向消费者推荐独立担保的组织。