資安是全球關注的重要議題，而大企業也都針對關鍵基礎設施進行保護，避免受往物攻擊。不過，並不是只有大企業會受到駭客的攻擊，隨著中小企業開始進行數位轉型，在缺乏資安資源的情況下，越來越多中小企業淪為駭客的攻擊目標。

早已成為駭客的新目標，大多中小企業卻渾然不覺

根據保險公司 Hiscox 2022 年的網路報告，2021 年對大公司的網路攻擊略有下降，但在其他規模的組織中，攻擊反而有所增加，特別是公司員工介於 10 至 49 名的企業，平均攻擊次數增加了近四倍。也就是說，駭客將更多的注意力轉向了中小型企業。而 FBI 的網路犯罪報告指出，2021 年網路犯罪為小企業造成 24 億美元的損失。
 

然而，大多數的中小企業主認為他們並不會成為網路攻擊的受害者。根據外媒《CNBC》的調查發現，大約有 56% 的中小企業主並不擔心在未來 12 個月內，成為駭客攻擊的受害者。另外，59% 的受訪者則表示他們可以「快速解決網路攻擊」，而 42% 的人則表示他們沒有應對攻擊的計劃。
 

資安公司 Veracode 的資安長 Sohail Iqbal 表示，由於中小企業在資安方面的控管較弱，且缺乏資源與人才，再加上這些中小企業大多不有名，又容易擔心影響公司的名聲而選擇不報告網路攻擊事件，因此成為了駭客眼中的肥羊。
 

FBI 監督特別探員 Michael Sohn 也強調，由於大型企業不斷增強他們的資安防護，因此，駭客已開始將目標轉至更容易攻擊的中小企業身上。
 

資安防護三大基本觀念

台灣在本月通過個資法相關修正草案，要求業者遵行安全維護義務、避免民眾個資外洩。若業者發生個資外洩事件，罰鍰最重新台幣 1000 萬元，並可「按次處罰」。中小企業該如何做好基本的資安防護？以下整理了三大要點。
 

觀念 #1：養成良好的網路使用習慣

企業應為所有員工建立並實施嚴格的密碼要求，並隨時將軟體自動更新到最新版本。所有遠端用戶和具管理訪問權限的用戶，也應要進行多重要素驗證（MFA）。企業的數據、應用程式和服務，可以考慮使用雲端託管（MSP）服務或是雲端服務供應商（CSP），或是使用軟體即服務（SaaS）的解決方案，如 Google Workspace 或 Microsoft Office 365 等。
 

觀念 #2：進行員工訓練

超過 90% 的網路攻擊，都是從網路釣魚開始的，因此員工教育也就十分重要了。在點擊任何連結或郵件之前，都要先進行基本的檢查與確認，避免掉入網路釣魚計劃之中。當有任何異常的網路行為出現時，公司也要有可以立刻解決的人力或資源。
 

觀念 #3：隨時做好準備

當攻擊真的發生，若公司已有制定 SOP 流程，便可以在最快的時間內解決、降低傷害。因此，要先確保關鍵時刻有哪些人員可以使用，接著制定網路攻擊後的計畫，並進行演練，這樣才能確保每一個員工了解他們在事件中扮演的角色。而關鍵數據也要隨時備份，才能確保在攻擊發生後，可以快速恢復關鍵數據。
 

參考資料：axios、CISA，首圖來源：Photo by Philipp Katzenberger on Unsplash