摘要：在本文中，一名小企業主為我們講述了她的企業是如何差點被網絡攻擊者毀掉的故事，以及她從那些網絡安全專家那里所汲取到得經驗教訓。2013年，李·穆爾的小生意經歷了長達七個月網絡攻擊。后來，在伍斯特大學計算機高級講師理查德·漢森的幫助下，她的企業的業務才逐漸恢復正常，但她的經歷則向我們展示了在現如今這樣一個全球互聯且從滿網絡安全威脅的大環境下，小企業要學會怎么做生意。

網絡攻擊：李·穆爾的故事

當我剛剛創建我的小公司時，我很高興聘請了一名Web開發人員，專門負責為我解釋我對于不同網絡問題的疑惑和忽視。這名Web開發人員是經我的一位女性朋友推薦來得，我的這位女性朋友非常喜歡他為她設計的網站，而我也十分信任他在這方面的能力。

我遵循著他的第一個指示：從不關我的電腦或無線路由器。我相信他的解釋：如果電腦因為被關掉而無法在第一時間進行最新殺毒軟件的安裝更新，那么其將很容易受到網絡病毒的攻擊。他還說，如果電腦/路由器每天都正常開關，我將能夠節約更多的電費。他堅持要我通過他自己的網站用信用卡向他支付費用。

現在我知道了我當初其實應該提出更多質疑的。彼時，我當然不知道如果一直開著我的路由器會讓他知道我的IP地址。而由于路由器長期永久性地連接到互聯網，IP地址保持不變，這使得他能夠更容易的冒充我，如果他愿意的話。

由于一心急著趕緊上線，并快速展開網上貿易，我忽略了自己對于完美修飾的追求。我當時根本不知道自己新生的事業、品牌對于網絡攻擊是多么的脆弱。

新聞報刊上鮮有對于網絡犯罪的報道。而那些指導如何創業的公司也不會教給那些剛剛嶄露頭角的企業主們如何應對網絡安全對于他們業務的威脅，也不會在其商業計劃中為他們推薦包括IT安全策略或信息風險評估之類的服務。

用Web開發者來描述他是相當貼切的，他非常謹慎的將他的網站圍繞在我周圍。我也信任并允許他這么做。

在接下來的兩年里，他購買了我的域名。并將我個人和公司的網站及電子郵件賬戶托管到了他的服務器上。他創建了我的社交媒體賬戶。并了給我用戶名和不同的密碼用于訪問這些社交帳戶。他是如此的友好和樂于助人，使我逐漸讓這種職務關系發展為私人關系。他會與我分享一些個人信息，而我也會進行回應。

當我告訴他我的丈夫病危之后，我收到了一封電子郵件，通知我說，我的網站已經過期，容易受到黑客攻擊。他反駁了我對于被告知我的僅僅不到兩年的網站可能會感染托管在他的服務器上的其他網站，因而需要新建一個網站的不滿。而他則可以以1,250英鎊的‘友情折扣價’為我打造一個新的網站。

由于當時沉浸在丈夫死亡的悲痛陰影中，也嫌麻煩不想再找一個網頁設計師，我同意了。并向他支付了1250英鎊。

電子郵件威脅

在新網站上線的24個小時之內，我收到了一個為期五天的未指定的額外工作需求，再加上25%的第一時間通知費用。

我對于這樣一份意外強加的費用征收提出了抗議，卻收到了“不付錢就讓我的生意完蛋”的電子郵件威脅。我請求貿易標準協會進行調解，但他們的干預遭到進一步的威脅，通過他們的代表反饋給我，“告訴李：不給錢將讓服務器掛掉”。

我還沒來得及回答，我發現我已經不能再訪問我的社交媒體賬戶、我個人和公司網站或我的電子郵件了。這名Web開發者已經改了所有的密碼。我的網站就只剩下一個頁面通知訪客說：我的公司和我已經陷入持續的債務糾紛，而我本人也是一個高風險的生意人。

他還利用搜索引擎優化技術，讓我的名字出現在所有互聯網搜索引擎的頂部，并在谷歌上的我的照片之間插入了一個包含有他的logo的橫幅。而那些點擊了他的logo的訪客將被鏈接到他的網站的一個頁面，該頁面上，他不斷的對我本人和我的公司進行誹謗評論。

由于無法再做生意，我選擇告上法庭，他則起訴了我和公司要求支付爭議款項。他不顧我的建議，并在維特上發貼辱罵我。

我創建了新的電子郵件地址和一家新的公司，但他在48小時內就發現了，然后就開始用攻擊性電子郵件來騷擾我。而我一旦拉黑了他的一個電子郵件地址，他會另設一個來繼續騷擾。

他使用我的品牌、我的家庭地址注冊了域名和公司。然后使用該域名創建了另一個網頁來重復說我的公司和我本人是債務人。他將我的新公司名稱添加到所有關于我的誹謗網頁，而且持續六個月每天刷新。

后來，從我的PC上發現了一個木馬并被刪除。盡管并沒有證據表明是由于木馬使得我電腦上的文件被無端加密，而且許多郵件莫名其妙的消失。

警察說這屬于民事糾紛，不是刑事案件。

我找到了律師，該律師一項訴訟的報價就達15000英鎊，而我有三項訴訟。光法律費用就高達六位數。

在我忍受了網絡攻擊好幾個月，同時在經過了我的律師多次要求之后，警方找到了對我進行網絡攻擊的人。他交給了警方據稱是我從我Twitter帳號所發布的冒犯他的帳戶頁面的復印件。于是，警方又撤銷了該案件。

最后，是理查德·漢森才幫我處理，并從此次網絡攻擊的影響中恢復過來。

網絡的教訓：來自理查德·漢森的反饋

您不會知道網絡攻擊會是什么感覺，直到其真實的發生在您自己身上。

李·穆爾的遭遇是相當可怕的。近幾年來，我一直在參與為小企業提供網絡安全事務服務，從我所遇到過的相關案例來看，李·穆爾的案例可以被歸納為不對稱的內部攻擊的一個例子。我很詫異地發現，僅僅是一名Web開發人員就可以很容易地讓一家企業及其主人受到這么大的傷害。

李·穆爾的公司被提供的服務沒有任何相關的服務保障措施。一家互聯網服務提供商(ISP)和網站開發者(這可能是同一個人或同一家企業)可以沒有任何特殊的原因，僅僅只是因為他們可以提供相關的服務就能夠被企業客戶信任到如此驚人的程度。根本就沒有任何措施來保護小企業應對他們的網絡提供商，除了《消費者權益保護法(1987年)》，也沒有相關的法令能夠將他們作為普通消費者來保證他們的權益。

英國沒有任何一部法規涉及到web開發人員操作實踐的規范，除了BCS之外，也沒有任何的專業機構來對他們實施監管。

對于中小企業而言，能夠充分檢測服務提供商的服務質量是相當重要的。在缺乏諸如業界排行榜的條件下，這往往靠口碑。

李·穆爾是被這名開發人員弄傻了眼僅僅是因為他比李·穆爾擁有更多的互聯網和Web應用程序的相關知識——而這一現狀在當前的小企業主中間非常普遍。人們可能已經對于《數據保護法(1998)》有了一定的了解，也知道《計算機濫用法案(1990)》，但很少有企業有這樣的意識。

在相應的監管缺席的時候，違法者就能夠在任何情況下濫用自己的知識，并制造一些計算風險來掩蓋自己的違法痕跡，因為沒有證據就沒有案件。

多年來，《計算機濫用法案》的落后已經讓人民有一些驚訝了。這一法案在手機數字智能話之前就已經被擬定了，其只在2006年進行了修正，使其可以明確地針對電腦進行規范。盡管媒體上有對于流氓國家網絡攻擊的炒作，但根據最近針對英國企業的網絡攻擊來源的研究表明，有超過70%的網絡攻擊是在英國內部發起的。

中小企業需要網絡安全建議

警方偵查網絡犯罪是基于4P的方法，即預防(prevent)、保護(protect)、準備(prepare)、追捕(pursue)。這顯示了企業了解潛在的網絡風險的重要性。

但警方沒有足夠的資源來收集證據，以確保根據《計算機濫用法》對任何針對中小企業的犯罪行為進行定罪，因此這些企業要么將不得不自己收集證據或雇用別人作為自己的代表來收集證據。

違反《數據保護法》是由信息專員辦公室(ICO)專門監管的，這可能會讓一些小企業主感到驚訝，因為盜竊數字資產與盜竊有形實物資產同樣是非法的。對任何小企業而言，充分了解政府的網絡要點概述，并遵循建議的步驟無疑是非常好的建議。那些很容易成為網絡攻擊目標的企業必須采取措施，以減少他們的脆弱性。

在選擇一家服務供應商之前，進行盡職盡責的事前調查無疑使企業自己的責任。目前，針對初創企業如何搭建自己的網站的建議一般并不包括信息安全、對供應商資格檢查以了解該供應商是否注冊了ICO或如何謹慎選擇一名網站設計師和ISP等方面的建議。

如果創業公司沒有被事先警告，他們不可能查找到這些問題，尤其是當創業之初有這么多的事情要做，以便讓業務盡快走上正常軌道。

數據泄露和網絡犯罪等相關問題應該成為計算機和法律相關專業人士的興趣所在，而不只是作為對于小企業的一種服務，也可以作為一個獨立的商業機會。

一位精明的IT律師或法律網絡培訓專家可以確保企業需要如何以獲取和存儲安全信息，如果發生違約，如何以一種合適的方式在法庭上呈現安全證據。新一代的能夠為小企業提供相關建議的IT專業人士可能已經出現，但這一過程需要加快，否則，將會有更多網絡犯罪和懲罰等不愉快經歷發生。

何時考慮建立網上業務

李·穆爾的案例尤其突顯了一些小企業需要重點考慮的要素。這名Web開發人員有她的用戶名和密碼，并將其上傳到互聯網上的Web服務器。人們在將自己的用戶名/密碼告訴他人之前真的需要三思。這樣的用戶名/密碼組合將是確認他們的在線身份，并讓身份盜竊瞄準企業主的關鍵。

允許像這位Web開發者一樣可信任的人知道自己的用戶名/密碼組合，也許是企業希望借此與之建立起良好的業務關系。但這種信任的破壞和斷裂將難以發現和打擊制裁。

這名Web開發者也常負責該網站的經營和管理，畢竟該網站沒有受外部監管。但沒有標準以衡量該開發者是否是安全的或甚至是一個好的程序員。一個技術差的網站將對企業的聲譽造成很壞的影響，將有可能出現讓數據暴露給跨站點腳本、SQL注入或其他常見的漏洞。

Web開發人員通常建議小企業如何選擇路由器和配置路由器。這應包括改變默認密碼，但這又為開發人員提供了對業務更大的控制。還有諸如無線路由器、黑客攻擊、交換機的關閉、IP地址和網絡健康等問題。企業也需要意識到。

根據英國政府在2011年的研究顯示，每年因網絡犯罪所導致的英國企業和個人的損失估計高達270億英鎊。2014年的這一數據目前尚未統計。但隨著電子商務和黑客活動的增加，其不太可能下降。

這似乎背離了政府所提出的“讓英國成為世界上做生意最安全的地方”的目標。

革命尚未成功，小企業和警方還有許多工作要做。英國并不缺乏專業知識，但這些知識迫切需要被充分利用起來。