全球网络攻击的后果:关注小型企业

5月12日，从伦敦到圣彼得堡，数以万计的人登录自己的电脑后，看到消息称，他们的电脑文件已被加密，如果不付费，这些文件将被删除。从那时起，“想哭”恶意软件攻击已经攻击了150多个国家的20多万台电脑。这次攻击似乎已经被私人网络安全研究人员挫败，他们发现并触发了恶意软件的死亡开关，在攻击蔓延到美国网络之前停止了攻击，但很明显，修改后的攻击很快就会发起。

微软在3月份发布了补丁，但那些没有打补丁的用户很容易受到攻击。微软在5月12日发布了一份声明，称“今天我们的工程师增加了对名为Ransom: Win32.WannaCrypt的新恶意软件的检测和保护。”微软表示，他们正在与客户合作，提供额外的帮助。网络安全专家认为，这次攻击是利用美国国家安全局最初针对恐怖分子和外国对手开发的工具进行的。

网络犯罪不仅影响着大企业，而且越来越多地针对小企业、非营利组织以及公共卫生和安全组织，这些组织更容易受到攻击，在网络安全项目上的投资较少，而且被勒索软件入侵的几率更高。通常情况下，中小型企业认为他们“在雷达之下”，因此没有优先考虑网络风险，这导致他们成为主要目标。无论企业规模大小，员工和管理层之间都需要更好地沟通网络安全政策、程序、硬件和软件的执行，以及漏洞可能对公司、客户和底线造成的损害。过去两年进行的多项研究表明，网络安全讨论的焦点仍然局限于公司的高管团队。

员工还需要了解安全威胁的严重性、不断变化的环境，以及如何分配足够的资源来保护系统。2012年，美国联邦调查局(FBI)发布警报，警告中小企业注意网络犯罪分子入侵公司电脑，获取授权个人的网上银行登录名和密码，然后向俄罗斯边境附近的中国公司电汇。在2010年3月至2011年4月期间，联邦调查局发现了20起此类事件。未遂诈骗金额达2000万美元，实际损失共计1100万美元。

据估计，在全球范围内，网络攻击每年给企业造成的损失超过4500亿美元，其中包括直接损害和随后对正常业务流程的破坏。尽管司法法庭仍不愿让公司、其高管、董事和高管为数据泄露或网络攻击负责，但大多数网络安全专家相信，在不久的将来，他们会这样做。虽然网络攻击的法律责任范围尚不明确，但最近的网络攻击事件继续表明，金融和公共安全后果可能是严重的。

企业面临的个人数据丢失风险取决于它们是数据控制者还是数据处理者，以及它们根据本国数据保护法所承担的义务。由于恶意软件很容易从互联网上下载，潜在攻击者的数量呈指数级增长。黑客活动分子攻击了多个领域的企业，因为他们不同意这些活动。

攻击者常用的方法:网络钓鱼

网络钓鱼是指通过电子通信伪装成可信实体，试图获取用户名、密码或信用卡号等敏感信息。数字破坏包括拒绝服务(DoS)攻击、病毒或其他类型的恶意软件，通常只是为了破坏业务。网络犯罪已成为信息时代不幸的一面，因为信息比商品或现金更有价值。

小企业的成本

网络犯罪呈上升趋势，小型企业已成为网络钓鱼者的主要目标，在过去五年里，此类事件增加了一倍多。许多网络钓鱼攻击的目标是负责公司财务的员工。例如，钓鱼者会向这些员工发送电子邮件，希望这些邮件被打开，这样他们就可以获得公司的财务信息。

对于小型企业来说，客户信息的迅速泄露可能会使公司的运营螺旋式下降或导致他们破产。一次事件就可能损害一家公司的声誉，造成无法挽回的损失，近50%的公司在遭受攻击后的六个月内倒闭。小型企业仍然专注于满足最低的合规要求以维持业务，因为他们的重点是通过增长来维持其微薄的利润率，而没有拨出足够的资金来消化安全漏洞的成本。

随着创新推动软件的变革，以及竞争的加剧，小企业主不再需要花六位数的钱来进行风险评估;现在可以实时进行网络风险评估，以收集和分析数据，以检测潜在威胁，考虑当前的安全措施，并在发生违规事件时立即采取行动。

企业所有者必须认识到并持续计划:

• 在执行纠正措施时，在攻击和恢复期间丢失业务。拥有一个保护和响应攻击的计划只是解决方案的一部分，需要不断重新评估计划，以确保符合适用性、监管要求和不断变化的法律框架。
• 公司资产的损失，包括银行信息、战略、专有信息和客户信息。
• 无法量化的名誉损害，如被搜索引擎列入黑名单
• 尽职调查。法律纠纷既昂贵又耗时。
• 对网络安全措施的投资。预防工作和基本政策的执行是关键。

虽然我们可能认为数据被盗是网络攻击的主要后果，但还有其他毁灭性的后果。石油和天然气、公用事业、化学加工和运输等行业依靠工业控制系统(ICS)来操作设备，管理消费者日常使用的关键过程。对ICS的妥协和操纵可能会对公共安全、健康、环境和整体经济产生灾难性的后果。许多小型企业为电力、石油和天然气、化工和制造业中常用的控制系统提供服务和产品;从最初可能进行PLC编程的面板制造商，到在主要过程中携带自己的笔记本电脑对公司设备进行故障排除的紧急现场支持，这些现在都成为了漏洞点。

随着对关键基础设施网络的攻击越来越频繁和严重，需要更有效的运营网络解决方案，将跨多个平台的各种数据源聚合、分析和关联起来，形成描述新出现的潜在威胁的近乎实时可视化。组织必须超越自身进行协作，并评估网络攻击对其公司合作伙伴、供应商和供应商的影响。随着由交互设备、网络、组织和人员组成的复杂系统促进有效的信息共享，这很快就成为了一种威胁，也成为了一种好处。

数据保护:美国的部门方法

美国对数据保护立法遵循所谓的部门方法。在这种方法下，数据保护和隐私的法律依赖于立法、监管和自我监管的结合，而不仅仅是政府政策。自20世纪90年代以来，美国一直遵循一项政策，即允许私营部门在数据保护方面发挥主导作用。这意味着企业应该执行自己的政策，开发自己的技术，个人应该防止个人数据的传播。根据这一政策，美国没有制定任何联邦数据保护法律。

欧洲数据保护法

另一方面，欧盟有一个统一的数据保护法，称为数据保护指令。该指令规范了欧盟内部个人数据的处理，是欧盟隐私和人权法的重要组成部分。然而，欧盟认识到有必要修改这一法律以应对全球化和技术发展，因此准备了一份欧洲通用数据保护法规草案，该草案将取代2016年4月通过的数据保护指令，在2018年实施之前有两年的过渡期。

Anil Gosine他是CFE媒体内容合作伙伴MG Strategy+的全球项目经理。编辑:CFE Media数字项目经理Joy Chang控制工程，jchang@cfemedia.com．

作者简介

Anil Gosine在工业领域拥有超过18年的施工管理、运营和工程经验，主要专注于美国、加拿大和中美洲的电气、仪器仪表和自动化过程和系统。他在公用事业行业有超过11年的经验，负责工程、实施和管理广泛的项目，在该行业领域内利用广泛的产品和控制系统技术。Anil是多个专业组织的活跃成员，并独立参与基础设施开发、工业自动化设计和实施、数据分析和网络安全流程的行业论坛和技术委员会。Anil是MG Strategy+全球工业项目的全球项目经理，并领导战略效率联盟安全工作组，特别关注ICS和安全情报和分析的网络安全指标、威胁、漏洞和缓解策略。

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。