孫舒揚 劉玉琢

摘 ? 要：中小企業(yè)作為數(shù)字經(jīng)濟中數(shù)量最龐大、創(chuàng)新最活躍的市場主體，在全球價值鏈、供應鏈中正扮演著越來越重要的角色。然而由于意識缺失、資源有限等多種原因，中小企業(yè)網(wǎng)絡安全防護普遍不足，面臨網(wǎng)絡安全事件時往往毫無還手之力，嚴重影響了中小企業(yè)的高質(zhì)量發(fā)展。西方多國已開始認識到中小企業(yè)網(wǎng)絡安全保護的重要性，通過完善法律、加強指導以及建立認證體系等方式提升中小企業(yè)網(wǎng)絡安全保障能力。我國應充分借鑒西方國家有益經(jīng)驗，進一步提升中小企業(yè)網(wǎng)絡安全保護意識，構(gòu)建分級分類的網(wǎng)絡安全保護體系，不斷加強針對中小企業(yè)的網(wǎng)絡安全服務。

關(guān)鍵詞：中小企業(yè);網(wǎng)絡安全;網(wǎng)絡安全保護

中圖分類號：TP393 ? ? ? ? ?文獻標識碼：A

Abstract： As the largest and most innovative market entity in the digital economy， SMEs are playing an increasingly important role in global value chains and supply chains. However， due to various reasons such as lack of consciousness and limited resources， cybersecurity protection of SMEs is generally insufficient. When facing cybersecurity incidents， they often have no power to fight back， seriously affecting the high-quality development of SMEs. Many western countries have begun to recognize the importance of cybersecurity protection for SMEs， and strengthen the network security capabilities of small and medium-sized enterprises by improving laws， strengthening guidance， and establishing certification systems. China should make full use of the beneficial experience of Western countries， further enhance the awareness of cybersecurity protection of SMEs， build a hierarchically classified cybersecurity protection system， and continuously strengthen cybersecurity services for small and medium-sized enterprises.

Key words： SMEs; cyber security; cyber security protection

1 引言

中小企業(yè)作為我國國民經(jīng)濟和社會發(fā)展的生力軍，貢獻了全國50%以上的稅收，60%以上的GDP，70%以上的技術(shù)創(chuàng)新成果和80%以上的勞動力就業(yè)，是建設現(xiàn)代化經(jīng)濟、推動經(jīng)濟實現(xiàn)高質(zhì)量發(fā)展的重要基礎。2018年10月24日，習近平總書記在考察廣州明珞汽車裝備有限公司時曾指出，中小企業(yè)在國內(nèi)經(jīng)濟發(fā)展中，起著不可替代的重要作用。因此，推動中小企業(yè)健康發(fā)展，對建設現(xiàn)代化經(jīng)濟體系，提高全要素生產(chǎn)率，增強我國經(jīng)濟創(chuàng)新力和競爭力具有重大意義。隨著數(shù)字經(jīng)濟的快速發(fā)展，作為數(shù)量最龐大的市場主體，中小企業(yè)也逐漸踏入了數(shù)字化進程，從使用簡單的孤立解決方案轉(zhuǎn)變?yōu)閾肀Ц嗷ミB的系統(tǒng)，有效地推動了行業(yè)發(fā)展。然而由于意識缺失、資源有限等多種原因，中小企業(yè)網(wǎng)絡安全防護能力普遍不足，面臨網(wǎng)絡安全事件時往往難以有效應對，嚴重影響了中小企業(yè)的高質(zhì)量發(fā)展。本文分析了當前中小企業(yè)面臨的網(wǎng)絡安全挑戰(zhàn)，梳理了國外政府提升中小企業(yè)網(wǎng)絡安全保護水平的主要措施，并提出了針對我國相關(guān)問題的意見和建議。

2 中小企業(yè)面臨的網(wǎng)絡安全挑戰(zhàn)

隨著互聯(lián)網(wǎng)與產(chǎn)業(yè)融合的深入，中小企業(yè)業(yè)務的開展越來越依賴于信息技術(shù)與網(wǎng)絡技術(shù)，但是由于網(wǎng)絡安全意識淡薄，企業(yè)價值持續(xù)提升，安全事件應對能力缺失，其所面臨的網(wǎng)絡安全挑戰(zhàn)也不斷增大。

2.1 網(wǎng)絡安全保護意識淡薄

中小企業(yè)通常忽略了成為網(wǎng)絡犯罪分子攻擊目標的可能性。網(wǎng)絡安全公司Keeper Security與Ponemon Institute在其2018年中小型企業(yè)網(wǎng)絡安全形勢報告中指出，一些中小企業(yè)認為其組織太小，不會成為網(wǎng)絡犯罪分子的目標。而在小型企業(yè)保險專業(yè)公司InsuranceBee的調(diào)查中，超過一半的企業(yè)認為其業(yè)務遭受網(wǎng)絡攻擊的可能性不大，甚至有6%認為永遠不會發(fā)生。但是事實上，由于安全基礎設施和安全實踐均不夠成熟，越來越多的攻擊開始瞄準中小企業(yè)。2019年，Senseon公司發(fā)布的《中小企業(yè)網(wǎng)絡態(tài)勢報告》中指出，隨著互聯(lián)網(wǎng)和云計算的引用，中小企業(yè)受攻擊的界面越來越大。根據(jù)Hiscox公司調(diào)查數(shù)據(jù)顯示，2019年有47%的小型企業(yè)（1-49人）和63%的中型企業(yè)（50-249人）遭遇網(wǎng)絡事件，分別比2018年增加了14%和27%。此外，由于中小企業(yè)的網(wǎng)絡安全防護意識淡薄，與大型企業(yè)所面臨的網(wǎng)絡安全威脅也存在區(qū)別。例如，賽門鐵克公司2019年互聯(lián)網(wǎng)安全威脅報告顯示，與在大型組織工作的人員相比，較小組織的員工更容易受到垃圾郵件、網(wǎng)絡釣魚和電子郵件惡意軟件等電子郵件威脅的攻擊。Keeper Security與Ponemon Institute的報告顯示，2018年中小企業(yè)因員工和承包商疏忽而造成的數(shù)據(jù)泄露事件占比達60%。

2.2 企業(yè)價值不斷提升

中小企業(yè)作為最活躍的經(jīng)濟體，是數(shù)字經(jīng)濟的重要組成部分，在全球經(jīng)濟價值鏈中的地位也不斷提升。如今，依靠眾多中小企業(yè)來支持核心業(yè)務功能已成為大型企業(yè)的常態(tài)，大量中小企業(yè)為大型企業(yè)提供專業(yè)服務，是大型企業(yè)供應鏈上無法忽視的一環(huán)，訪問大型企業(yè)數(shù)據(jù)及其內(nèi)部系統(tǒng)的情況也很常見，這種互聯(lián)性進一步增大了中小企業(yè)遭受網(wǎng)絡攻擊的風險。盡管對于中小企業(yè)的攻擊難以像對大型企業(yè)的攻擊那樣給犯罪分子帶來豐厚的回報，但是由于其安全防護能力有限，網(wǎng)絡攻擊成本低、成功率高，常被網(wǎng)絡攻擊犯罪分子視為竊取大型企業(yè)數(shù)據(jù)的捷徑和開展針對大型企業(yè)的攻擊的跳板。例如2018年7月，加拿大一家為汽車制造商和供應商生產(chǎn)自動化程序的工程服務供應商Level One Robotics and Controls因未設置有效地用戶訪問權(quán)限，導致近4.7萬份工廠文件泄露，內(nèi)容包括產(chǎn)品設計原理圖、裝配線原理圖、工廠平面圖、采購合同等敏感信息，影響遍及特斯拉、豐田、大眾、福特、通用等多家知名大型車企。

2.3 網(wǎng)絡安全事件應對能力不足

網(wǎng)絡攻擊往往帶來重大的經(jīng)濟損失，如付贖金的成本、可能丟失的數(shù)據(jù)的成本、持續(xù)的系統(tǒng)中斷、停機時間、違規(guī)罰款以及法律費用等。思科公司的《2018安全能力基準研究》指出，約54%的網(wǎng)絡攻擊造成經(jīng)濟損失超過50萬美元，IBM和Ponemon Institute的2019數(shù)據(jù)泄露成本報告指出全球數(shù)據(jù)泄露成本平均達到392萬美元，這樣昂貴的成本足以讓中小企業(yè)永久關(guān)停。而由于中小企業(yè)資源有限，網(wǎng)絡安全往往并不被認為是其關(guān)鍵業(yè)務風險，Barclaycard公司最新調(diào)查數(shù)據(jù)顯示，僅有20%的中小企業(yè)將網(wǎng)絡安全問題放在優(yōu)先地位。因此，中小企業(yè)一方面缺乏網(wǎng)絡安全專項資金。瞻博網(wǎng)絡研究2018年的一項研究指出，小型企業(yè)每年在消費級網(wǎng)絡安全產(chǎn)品上花費的平均數(shù)量僅為500美元。InsuranceBee調(diào)查顯示，83%的中小企業(yè)缺乏應對網(wǎng)絡安全事件的資金儲備。另一方面缺乏網(wǎng)絡安全專業(yè)人員，小型企業(yè)網(wǎng)絡安全專業(yè)公司Continuum報告指出，62%中小企業(yè)缺乏網(wǎng)絡安全相關(guān)技能，僅41%有網(wǎng)絡安全專家。缺乏預算和專業(yè)知識使中小企業(yè)難以有效地實施網(wǎng)絡安全策略，在遭遇網(wǎng)絡安全事件后往往難以應對。

3 西方國家保障中小企業(yè)網(wǎng)絡安全的主要舉措

西方多國已逐漸開始意識到中小企業(yè)網(wǎng)絡安全保護的重要性，主要通過健全法律制度、強化安全指導和明確認證體系等方式持續(xù)強化中小企業(yè)網(wǎng)絡安全防護能力，進而提升國家網(wǎng)絡安全保障水平。

3.1 健全法律制度

美國政府長期以來高度重視中小企業(yè)網(wǎng)絡安全問題，參、眾兩院議員提出大量推動中小企業(yè)網(wǎng)絡安全保護的法案，從法律層面明確加強中小企業(yè)網(wǎng)絡安全保護的要求。2018年8月，美國總統(tǒng)特朗普簽署《小型企業(yè)數(shù)據(jù)安全保護法》，提出依托美國國家標準與技術(shù)研究院（NIST）制定的標準和技術(shù)優(yōu)勢提升小型企業(yè)應對網(wǎng)絡攻擊的能力，要求聯(lián)邦標準與技術(shù)研究院為小企業(yè)免費提供網(wǎng)絡安全防御標準和工具，保護小型企業(yè)免受網(wǎng)絡攻擊，縮小中小企業(yè)與大企業(yè)在網(wǎng)絡安全保護方面的差距。2019年參、眾兩院持續(xù)提出多項加強中小企業(yè)網(wǎng)絡安全的法案，如《小型企業(yè)網(wǎng)絡安全援助法案》要求小型企業(yè)發(fā)展中心為小型企業(yè)提供網(wǎng)絡安全援助，《小型企業(yè)網(wǎng)絡培訓法案》要求小型企業(yè)發(fā)展中心的員工提升網(wǎng)絡安全專業(yè)水平，以指導企業(yè)進行網(wǎng)絡安全。除對政府部門提出要求外，美國政府也要求中小企業(yè)采取安全措施，如2017年發(fā)布的《小型企業(yè)促進網(wǎng)絡安全增強法案》（草案），要求小型企業(yè)建立網(wǎng)絡安全部門，開展威脅信息共享。

3.2 強化安全指導

除在法律中明確網(wǎng)絡安全防護要求外，多國政府與相關(guān)機構(gòu)制定大量針對中小企業(yè)網(wǎng)絡安全的指南，如歐盟2017年出臺《中小企業(yè)個人數(shù)據(jù)處理安全指南》、澳大利亞2017年發(fā)布《小型企業(yè)網(wǎng)絡安全最佳實踐指南》、加拿大2019年制定《中小型組織基線網(wǎng)絡安全控制》、日本2019年提出《中小企業(yè)信息安全指南》等，均為本國中小企業(yè)開展網(wǎng)絡安全規(guī)劃，制定網(wǎng)絡安全策略，提升網(wǎng)絡安全水平提供了具有針對性的指引。此外，部分國家還提供網(wǎng)絡安全規(guī)劃工具等其他方式指導，如美國聯(lián)邦通信委員會開發(fā)的Small Biz Cyber Planner 2.0系統(tǒng)，企業(yè)可選擇所需安全模塊，在線制定個性化的網(wǎng)絡安全規(guī)劃。

3.3 明確認證體系

盡管多國已經(jīng)制定了適應中小企業(yè)熱點的網(wǎng)絡安全指南，但是限于資源和力量不足，中小型企業(yè)往往無法建立全面的網(wǎng)絡風險管理計劃，也難以向其客戶證明自身網(wǎng)絡安全保障水平。為此，部分國家提出通過構(gòu)建網(wǎng)絡安全認證體系為企業(yè)提供網(wǎng)絡安全保障水平證明。如加拿大在2019年8月公布面向中小企業(yè)的自愿性認證CyberSecure Canada，經(jīng)認證機構(gòu)的審核證明符合基線網(wǎng)絡安全控制要求的中小型企業(yè)，將被授予為期兩年的認證，有權(quán)使用加拿大聯(lián)邦政府認可的網(wǎng)絡安全標志，企業(yè)可以此為證據(jù)向客戶證明其符合基本網(wǎng)絡安全實踐要求。歐盟在《通用數(shù)據(jù)保護條例》《網(wǎng)絡安全法》等重要法案中提出了創(chuàng)立歐盟統(tǒng)一的網(wǎng)絡安全認證框架。中小企業(yè)可根據(jù)網(wǎng)絡安全認證的要求有針對性地完善其安全保障措施，利用有限的成本達到最佳效果。

4 對我國的啟示

中小企業(yè)作為我國數(shù)字經(jīng)濟中數(shù)量最龐大、創(chuàng)新最活躍的市場主體，其網(wǎng)絡安全問題直接影響了我國經(jīng)濟的健康發(fā)展，本章結(jié)合西方國家保障中小企業(yè)網(wǎng)絡安全的主要舉措，提出對我國的幾項意見和建議。

4.1 提升中小企業(yè)網(wǎng)絡安全保護意識

近年來，中央高度關(guān)注中小企業(yè)發(fā)展，習近平總書記與其他中央領(lǐng)導均對于中小企業(yè)的發(fā)展作出了重要指示。中央、國務院與相關(guān)主管部門陸續(xù)發(fā)布《中小企業(yè)促進法》《關(guān)于促進中小企業(yè)健康發(fā)展的指導意見》《促進中小企業(yè)發(fā)展規(guī)劃（2016-2020年）》等多項促進中小企業(yè)發(fā)展的重要政策，但是其中對于網(wǎng)絡安全鮮少著墨，中小企業(yè)網(wǎng)絡安全問題尚未提升到國家戰(zhàn)略層面，中小企業(yè)網(wǎng)絡安全問題的關(guān)注程度仍需持續(xù)提升。

4.2 建立分級分類的網(wǎng)絡安全保護體系

中小企業(yè)面臨的網(wǎng)絡安全威脅和需開展的網(wǎng)絡安全防護活動與大型企業(yè)存在區(qū)別，現(xiàn)有的網(wǎng)絡安全保護政策措施與最佳實踐對于中小企業(yè)并非完全適用，可能難以達到預期目標。我國目前實行的網(wǎng)絡安全等級保護制度是按照網(wǎng)絡重要程度與可能造成危害程度劃分等級，提出相應級別的網(wǎng)絡安全防護要求，尚未針對不同規(guī)模企業(yè)的網(wǎng)絡安全防護開展專門指導。行業(yè)主管部門應充分考慮中小企業(yè)網(wǎng)絡安全保護中切實存在的問題和需求，有針對性的提出區(qū)別于大型企業(yè)的網(wǎng)絡安全保障措施，構(gòu)建分級分類的網(wǎng)絡安全保障體系。

4.3 加強針對中小企業(yè)的網(wǎng)絡安全服務

缺乏資金、能力不足等是目前中小企業(yè)開展網(wǎng)絡安全保障能力建設的重要障礙。除制定面向中小企業(yè)的網(wǎng)絡安全指導性文件外，行業(yè)主管部門還需引導研究機構(gòu)、企業(yè)積極開展針對中小企業(yè)網(wǎng)絡安全的研究，為中小企業(yè)提供種類豐富、更有針對性的網(wǎng)絡安全產(chǎn)品與服務，在提升中小企業(yè)網(wǎng)絡安全能力的同時，推動中小企業(yè)網(wǎng)絡安全相關(guān)產(chǎn)業(yè)的發(fā)展。

5 結(jié)束語

當前，我國中小企業(yè)正處于數(shù)字化轉(zhuǎn)型發(fā)展的關(guān)鍵時期，與西方發(fā)達國家中小企業(yè)數(shù)字化程度仍存在較大差距，宜充分借鑒西方國家經(jīng)驗做法，加強我國中小企業(yè)網(wǎng)絡安全保護工作前瞻性研究，強化網(wǎng)絡安全管理，保障我國中小企業(yè)數(shù)字化健康轉(zhuǎn)型。

參考文獻

[1] 杜向文.中小企業(yè)的網(wǎng)絡安全[J].計算機安全，2006（8）：47-50.

[2] 郭蘭坤.淺談中小企業(yè)網(wǎng)絡安全問題[J].中小企業(yè)管理與科技（下旬刊），2013（2）：213-214.

[3] 何昊坤，李璐.ICT供應鏈安全管理風險識別研究[J].網(wǎng)絡空間安全，2019（4）：37-42.

[4] 劉洋.中小企業(yè)網(wǎng)絡安全問題及其解決方案[D].南昌大學， 2016.

[5] 獨立行政法人情報処理推進機構(gòu).中小企業(yè)の情報セキュリティ対策ガイドライン[EB/OL]. （2019-09-02）.https：//www.ipa.go.jp/files/000055520.pdf

[6] Australian Small Business and Family Enterprise Ombudsman. Cyber Security： The Small Business Best Practice Guide[EB/OL]. （2017）. https：//www.asbfeo.gov.au/sites/default/files/documents/ASBFEO-cyber-security-research-report.pdf.

[6] Canadian Centre for Cyber Security. Baseline Cyber Security Controls for Small and Medium Organizations[EB/OL]. （2019）. https：//cyber.gc.ca/sites/default/files/publications/Baseline Cyber Security Controls%20 for Small and Medium Organizations.pdf.

[7] National Cyber Security Centre. Small Business Guide： Cyber Security[EB/OL]. （2017）. https：//www.ncsc.gov.uk/files/cyber_security_small_business_guide_1.3..pdf.