每个小型企业都应知道的五件关于网页威胁和网络犯罪的事

对于网络犯罪者来说，没有任何企业会太小而不值得花费力气。小型企业虽然不像一般大企业那么受人瞩目，但小型企业也无力承担轻忽网络犯罪威胁的代价。尽管外界流传着小型企业对这类安全威胁免疫的说法，但现在该是正视问题的时候了。

1. 任何企业组织，不论规模大小，都可能成为网络犯罪的受害者。

大多数的小型企业都不相信自己会成为网络犯罪的目标。根据 Visa Inc. 与 National Cyber Security Alliance 一项针对 1,000 位小型企业老板的调查，有 85% 的老板相信大型企业比他们更容易成为目标。超过一半 (54%) 的受访者有自信他们的准备比大型企业更充份，更有能力保护公司与客户资料。小型企业或许会认为：网络犯罪通常不是锁定很大的企业，就是锁定一般消费者，因此自己不可能成为歹徒的目标。然而，事实上，只要是有利可图而且利润丰厚，网络犯罪者才不管是超大型企业、小型企业或一般消费者。他们对任何目标都一视同仁。只要是系统存在着安全漏洞，任何目标对网络犯罪来说都是一样的。

2. 小型企业同样也拥有网络犯罪者所感兴趣的信息。

小型企业或许会认为他们的内容安全威胁并不像大型企业那么严重。但事实上，根据 Council of Better Business Bureaus 在 2010 年 5 月所发表的研究，7.4% 的小型企业老板都曾经遇到网络诈骗。

小型企业同样也拥有员工和客户信息，因此就各方面来说，同样也是网络犯罪的重要目标。从身分证号码到网络银行帐号密码都是歹徒所觊觎的资料 (完整的失窃资料排名请参考下图)。

3.网络犯罪者平均每一秒释出 3.5 个专门攻击小型企业的新威胁。

根据报告指出，专门针对小型企业的网络攻击数量在 2010 年初窜升了 600%。专家表示，此现象的背后至少有两项因素。首先，规模较大的企业皆已投入更多资金来加强互联网安全，迫使网络犯罪者将目标转向同样有利可图的小型企业。其次，小型企业数量庞大，光是美国境内就有超过 2 千 5 百万家小型企业。除此之外，小型企业还有一项吸引网络犯罪者的原因，那就是小型企业没有足够的预算可以聘请专门的 IT 团队，更不用说成立专责部门，来维持信息安全。

曾经有小型企业因为遇到网络犯罪而损失数十万美元，而歹徒所用的工具就是 僵尸网络/傀儡网络 Botnet 程序。Bot 程序是一种会暗中潜入个人电脑的恶意程序，一旦潜入，歹徒就能从远端遥控电脑并窃取重要资料而不被员工或客户发觉。

2011 年 1 月，美国联邦调查局 (FBI) 在一份报告中指出，有一家美国企业因为触发了电子邮件所挟带的恶意程序而自动从银行帐户转出了 15 万美元给歹徒。该恶意程序就是 ZeuS/ZBOT 家族的木马程序之一，此恶名昭彰的恶意程序家族专门诈骗小型企业。

趋势的专家也曾见过专门针对小型企业而设计的网络钓鱼Phishing攻击和漏洞攻击。这类诈骗经常利用一些税务相关的电子邮件，并且假冒政府机关的名义，其手法通常是利用客户投诉或威胁采取法律行动来引起被害人恐慌。而漏洞攻击则是专门攻击常见合法应用程序的漏洞。

只要小型企业能确保每一位员工 (不论技术程度如何) 都能随时掌握网络犯罪的最新动态，就更能防范上述攻击。企业应该教育员工有关最新的诈骗手法，鼓励员工养成良好习惯，例如：只要是来路不明的可疑邮件，千万不要回覆，也不要开启附件档案，更不要点选其中的连结。此外，小型企业最好能贯彻一套内部安全政策来强化其网络安全与银行交易操作原则。最后，小型企业也必须时时提高警觉，小心防范可疑的网络活动，并且做好应变的准备，以防万一真的遭到歹徒入侵。

4. 尽管遵规需要高昂的成本，但未遵守法规的可能代价更高，而且让网络犯罪有机可乘。

并非所有的小型企业都已意识到遵规的问题。有些甚至认为自己的企业已经符合法规要求，并且已做好安全措施。然而，根据 2011 年发表的一份中小企业 (SMB) 资料安全与诈骗预防策略调查显示，美国有将近一百万家小型企业皆曾经是资料安全诈骗的受害者。

不遵循法规的结果，最终可能导致生产力损失、业务中断以及高昂的法律成本。对于跨国性的企业来说，遵规的成本大约在 350 万美元之谱5，相对于不遵循法规的潜在损失，这只不过是小小的代价。小型企业如果以为自己不必遵守资料保护法规，那就大错特错。如同大型企业，小型企业也需处理人员、流程与技术的问题，而这些层面的网络犯罪威胁与大型企业没什么不同。

5. 小型企业正逐渐迈向云端，也开始拥抱云安全，但网络犯罪者也不是省油的灯。

云端运算已经不再是一种口号，而是既成的事实。今日中小企业整体云端市场价值大约在 86 亿美元左右6