小企业面临网络攻击激增的困境 - 《华尔街日报》

Lisa Ward

2022-06-08

网络攻击对小型企业来说越来越普遍，而许多企业并未做好应对攻击的准备。

疫情期间，随着小型企业加速采用远程办公、通信、生产和销售的新技术，其扩大的计算机网络为钓鱼软件和勒索软件攻击创造了新的漏洞。但许多小型企业仍不认为自己会成为黑客攻击的目标，因此防范网络攻击在其优先事项清单上排名靠后。

过去几年间，小型企业遭受攻击的风险急剧上升。“疫情期间，小型企业遭受攻击的频率是大型机构的两倍，“万事达卡公司网络安全与情报部门总裁阿贾伊·巴拉表示。

根据万事达旗下评估企业网络安全风险的公司RiskRecon的数据，2020至2021年间，全球小型企业数据泄露事件较前两年激增152%。同期大型机构的数据泄露事件增长75%。

关注点不同

但在疫情期间出现的诸多问题中，许多小型企业更关注的是如何在劳动力短缺、供应链中断和通货膨胀等困境中维持生存，而非网络安全。“我的客户们正担忧疫情持续影响、用工荒和通货膨胀问题，“基础商业概念"公司（为小型企业提供首席财务官服务的机构）老板玛丽莲·兰迪斯表示。她说客户们目前最关心的并非网络安全。

一些企业意识到了网络威胁的存在，却未意识到自身并未投保相关险种。保险信息研究所发言人洛雷塔·沃特斯表示：“太多小企业仍错误地认为其财产和责任险已涵盖网络风险。“一般商业保险通常不承保网络攻击导致的额外法律费用、数字基础设施修复及数据恢复成本。

根据《华尔街日报》专业版网络安全团队12月发布的网络安全专家调查，年收入低于5000万美元的小型企业中，52%投保了网络风险保险，而大型企业的这一比例约为75%。

大北方码头公司联合老板唐恩·梅里安形容此次网络攻击"让我们折寿数年”。图片来源：《华尔街日报》Tristan Spinski### 代价高昂的攻击

2020年，黑客从缅因州那不勒斯大北方码头公司银行账户盗走近25万美元时，该公司仅投保了普通商业保险。由于保险未赔付大部分损失，该公司最终承担了21.8万美元损失，包括被盗资金、与银行交涉的法律费用、聘请数字取证专家追溯事件根源及制定防范措施的费用，以及新IT基础设施成本。

与丈夫共同经营该公司的唐恩·梅里安表示，除经济损失外，厘清事件后续应对措施也困难重重，整个过程中仿佛孤立无援。“这场风波让我们折寿数年，“她说道。该公司现已投保网络保险。

相比之下，总部位于佛罗里达州奥兹马市的铝制品制造企业MI Metals公司去年七月遭遇勒索软件攻击时，其购买的网络安全保险发挥了作用。保险公司立即派遣专家团队前往MI Metals的工厂和总部，迅速确认攻击者并未窃取员工档案或客户账户等敏感信息。公司所有者布鲁克·马西在得知核心数据未泄露后，依靠家中硬盘备份的公司数据，果断拒绝了攻击者索要240万美元比特币赎金的要求。

保险公司最终向MI Metals支付了约18万美元，用于支付律师费、硬盘更换、取证专家费用及新软件采购等支出。

成本攀升

尽管网络安全保险对遭受攻击的小企业至关重要，但其保费正日益昂贵且承保门槛不断提高。批发保险公司ProWriters首席执行官布莱恩·桑顿表示：“自疫情以来，小企业网络安全保险年保费涨幅达10%至15%。“价格并非唯一障碍，桑顿指出：“由于核保要求收紧，被拒保的小企业比例正在上升。”

达信保险经纪公司东南区高管责任与网络业务负责人丽莎·迪金森透露，核保方过去仅对大型企业实施网络安全协议审查，如今正将同等标准逐步扩展到中小企业。

例如，企业可能现在需要为系统管理员和其他员工，以及能够访问公司网络的供应商或第三方实施多因素认证，作为购买网络保险的前提条件。多因素认证降低了网络犯罪分子利用窃取的凭证访问网络的风险。保险公司还可能要求小企业对备份数据进行加密，并制定应对网络攻击的响应计划。

迪金森女士表示，这种情况尤其适用于年收入在2500万至5000万美元之间的公司，这些公司遭受攻击的可能性以及索赔的潜在数额都高于较小规模的企业，以及在疫情期间遭受网络攻击严重的行业（如制造业）中运营的公司。

小企业或许可以通过从销售保险的技术公司（业内称为保险科技公司）购买保单，来跳过一些承保要求。

保险科技公司很大程度上通过使用人工智能自动化承保流程，这有助于降低成本。例如，人工智能会检查公司的网络以自动评估其安全风险。具体来说，人工智能会寻找过时或包含已知黑客漏洞的软件，并分析托管公司网站的组织机构的安全性。

但这里也存在障碍。保险科技公司发行的网络保险通常前期承保要求不那么繁琐，使得获取更容易，但会要求小企业定期改善其网络安全作为维持保险覆盖的前提。这或许能帮助企业加强防御，但迪金森女士表示，对于那些更专注于业务其他领域的小公司来说，这可能是一个难以接受的条件。

沃德女士是佛蒙特州的一位作家。可以通过[email protected]联系到她。

刊登于2022年6月8日的印刷版，标题为《小型企业面临网络攻击增加的困境》。