【公司細就安全?】一份報告揭露中小企都係目標
美國研究機構 ESG 最近出咗份調查報告,訪問咗北美 400 個喺中小企(美國定義為少於 500 人)返工嘅網絡保安同埋資訊科技員工,呢班員工都有個共通點,就係 IT 部門人手少得可憐,而且大部分直屬上司已經係公司嘅最高管理層,中間係冇 CIO 或者 CISO 呢類職位嘅人存在,可想而知間公司規模係幾咁細!
得出嚟嘅結果係點呢?就係呢類公司嘅網絡保安都做得唔多好。有三分二被訪者嘅公司,過去兩年至少出現過一次網絡保安事故,當問到事故對公司有乜影響,46% 嘅被訪者話事故影響公司嘅生產力,而 37% 嘅被訪者就話導致商業應用或者 IT 系統停止運作,仲有 37% 話令到業務完全停頓。
調查報告亦問到出事原因,結果 35% 被訪者話係人為錯誤,28% 被訪者就話係因為公司大部分人嘅網絡危機意識低下;27% 認為係公司轉換IT政策,例如決定轉用雲端儲存、遙距登入、SaaS等新服務時,冇通知負責網絡保安嘅同事制訂相應防範措施,結果出事;24% 被訪者就話公司冇為非 IT 員工提供足夠嘅網絡保安培訓;20% 反映係因為人手不足,細公司通常都請唔夠人負責網絡保安,亦唔夠錢請有較佳技術嘅網絡保安人員,呢個係好易理解,但其實佢哋只要盡早幫襯 MSSP(即係外判嘅網絡保安服務供應商),就唔會咁易出問題。
ESG 嘅首席分析員 Jon Oltsik 就提醒一眾中小企,唔好以為公司細,黑客就睇唔上眼,佢哋照樣會入侵你個系統,偷錢或者值錢嘅數據,甚至國家級黑客亦會入侵細公司嘅系統,從而進一步攻擊同你公司有連繫嘅大企業,所以中小企都一樣要提高警覺。
