中小企业如何给安全“加防”？

数据合规要求严苛，数据泄露形势严峻

数字经济作为经济发展的新动能，成为拉动全球经济增长的新引擎，世界各主要国家已将发展数字经济作为重塑核心竞争力的重要举措，而数据作为数字经济发展的关键因素，被各国纳入法律保护范畴，对企业提出更高要求。欧盟《通用数据保护条例》（简称 GDPR）自2018年施行以来，在各行各业开出近300罚单，罚金合计超4.7亿欧元（数据来源：enforcementtracker网站），如：

英国航空公司因泄露50万客户的个人及信用卡信息，罚款约2亿欧元；

万豪酒店集团也因泄露超3亿用户的个人信息，罚款1.24亿欧元；

谷歌因处理个人用户数据时未充分履行其义务，罚款5000万欧元；

瑞典某高中因违反数据收集目的限制和最小范围原则，罚款近2万欧元。

近日，我国也发布了《数据安全法（草案）》，填补该领域立法空白，明确了企业数据安全保护责任和义务，并提出相关罚则。

企业在面对合规监管愈发严苛的同时，也在经历着更加严峻的数据泄露态势。据2020年Verison数据泄露调查报告（DBIR）显示，中小企业与大型企业面临着近乎相同的安全风险，在调研的407件中小企业网络安全事件中，近55%的安全事件伴随着数据泄露。越来越严格的合规要求和日渐严峻的数据泄露风险，给中小企业信息安全建设带来更大挑战。

勒索事件频发难以防范

在经济利益的驱动下，勒索病毒成为近年来的主流网络安全威胁之一。绿盟科技安全事件响应年报显示，2017至2019年勒索病毒类事件数量始终占据热门网络安全事件Top3，虽然2019年事件数量较上一年减少近15%，但勒索病毒呈现出家族化和高更新迭代速度的特征，并伴随着勒索金额的持续走高，如GandCrab勒索病毒1.0版本出现于2018年1月，仅在16个月内，版本更新至5.3，勒索金额也从早期的499美元提升至998美元。此外，随着勒索软件产业链的形成，勒索软件即服务（RaaS）成为热门黑产盈利模式，黑产从业者无需恶意软件开发的专业知识，便可发起勒索活动，这样低门槛、高收益、传播方式多元化的特性，让勒索病毒更加难以防范。