新興信息技術(shù)的快速應(yīng)用,為各類企業(yè)的發(fā)展提供了便利,但同時也讓企業(yè)面臨巨大的信息安全風(fēng)險。《經(jīng)濟(jì)參考報》記者近日從多個權(quán)威機(jī)構(gòu)獲悉,過去兩年,企業(yè)信息安全事件數(shù)量相比以往大幅增長,給企業(yè)造成的損失每年達(dá)百億元之巨,并有繼續(xù)快速增長的趨勢。
來自普華永道的調(diào)查報告顯示,2015年和2016年,中國內(nèi)地及中國香港企業(yè)檢測到的信息安全事件平均數(shù)量高達(dá)2577起,與2014年相比上升了969%。360、阿里巴巴、騰訊等互聯(lián)網(wǎng)企業(yè),以及公安部、工信部下屬機(jī)構(gòu)的監(jiān)測數(shù)據(jù)同樣令人吃驚:2016年監(jiān)測到的企業(yè)信息安全事件數(shù)量已超過萬起,較2014年增長了近十倍,且這些安全事件均給企業(yè)帶來了不同程度的經(jīng)濟(jì)損失。
據(jù)介紹,目前監(jiān)測到的企業(yè)安全事件僅是冰山一角。公安部和360公司的安全專家向《經(jīng)濟(jì)參考報》記者表示,針對企業(yè)信息安全的攻擊或犯罪,并不會馬上顯現(xiàn),有些特定的攻擊方式會潛伏數(shù)年之久,而目前監(jiān)測到的多是已顯現(xiàn)出危害或已發(fā)現(xiàn)攻擊痕跡的企業(yè)信息安全事件。因此,實(shí)際上企業(yè)遭受攻擊的數(shù)量要遠(yuǎn)高于目前各類企業(yè)和機(jī)構(gòu)所監(jiān)測到的數(shù)據(jù)。
根據(jù)上述公司和機(jī)構(gòu)的監(jiān)測數(shù)據(jù)估算,目前我國因信息安全事件給企業(yè)造成的損失每年達(dá)百億元之巨。“這并非危言聳聽。”360安全專家裴智勇博士表示,2016年僅360監(jiān)測到的企業(yè)信息安全事件就超過1萬起,并且每一起給企業(yè)造成的直接經(jīng)濟(jì)損失都超過了100萬元。裴智勇認(rèn)為,由于針對企業(yè)的攻擊多數(shù)具有隱蔽性,在給企業(yè)造成直接經(jīng)濟(jì)損失的同時,還會在一定程度上給企業(yè)造成其他意想不到的傷害。因此,他認(rèn)為各類信息安全事件給企業(yè)造成的真實(shí)損失遠(yuǎn)遠(yuǎn)超過百億元。
值得注意的是,部分監(jiān)測數(shù)據(jù)還顯示,近年來金融、互聯(lián)網(wǎng)、工業(yè)企業(yè)遭到攻擊的數(shù)量明顯增加,已經(jīng)成為黑客和不法分子攻擊的主要對象。一家國內(nèi)銀行管理層人士告訴記者,在2010年前后,國內(nèi)銀行IT系統(tǒng)就曾監(jiān)測到了針對性的攻擊行為。另外,新型APT高級持續(xù)威脅,Advanced Persistent Threat攻擊數(shù)量近年來呈快速上升趨勢,這意味著包括銀行在內(nèi)的國內(nèi)金融機(jī)構(gòu),正進(jìn)入信息安全高危期。
有業(yè)內(nèi)人士表示:“如果遭到攻擊,更換系統(tǒng)對于國內(nèi)銀行來說將是一筆巨大開支。不僅如此,數(shù)以億計的賬戶信息,也有可能受到威脅。如果儲戶認(rèn)為錢存在銀行不再安全,對于銀行和金融機(jī)構(gòu)而言,將是致命的打擊。”
360公司提供給《經(jīng)濟(jì)參考報》的調(diào)查報告顯示,早在2004年就發(fā)現(xiàn)了針對國內(nèi)金融機(jī)構(gòu)進(jìn)行攻擊的不法組織,這一組織針對國內(nèi)金融機(jī)構(gòu)的各類攻擊已持續(xù)了12年,并且攻擊頻率從2012年開始明顯提高,其主要攻擊對象為基金、證券、保險、理財和資產(chǎn)管理等多種類型的國內(nèi)金融機(jī)構(gòu),還包括一部分的個人股民。
除金融機(jī)構(gòu)外,上述調(diào)查報告還顯示,互聯(lián)網(wǎng)和工業(yè)企業(yè)近年來也成了被攻擊的重點(diǎn)對象。目前,部分國內(nèi)互聯(lián)網(wǎng)企業(yè)已被曝光遭受了不同程度的攻擊,而工業(yè)企業(yè)遭受攻擊的案例也在快速攀升。裴智勇表示,由于金融、互聯(lián)網(wǎng)和工業(yè)企業(yè)一方面服務(wù)于廣大用戶,另一方面又和經(jīng)濟(jì)運(yùn)行息息相關(guān),因此很容易成為不法分子的攻擊對象。
部分機(jī)構(gòu)預(yù)測,由于新興信息技術(shù)的快速應(yīng)用,以及我國加速推進(jìn)制造業(yè)和互聯(lián)網(wǎng)融合發(fā)展,未來我國企業(yè)的信息化程度將越來越高,但相應(yīng)的風(fēng)險也可能進(jìn)一步提升。360公司的監(jiān)測數(shù)據(jù)顯示,截至2016年年底,有36個境外APT組織持續(xù)對國內(nèi)企業(yè)和機(jī)構(gòu)進(jìn)行了攻擊,而在幾年前,這一數(shù)字還只是個位數(shù)。此外,普華永道等第三方機(jī)構(gòu)的調(diào)研數(shù)據(jù)表明,目前國內(nèi)多數(shù)企業(yè)對可能發(fā)生的信息安全攻擊,還沒有采取有效的防護(hù)措施,部分采取了防護(hù)措施的企業(yè)投入也十分有限,僅能應(yīng)對一些技術(shù)水平較低的攻擊,而對針對性的攻擊或者APT等更為復(fù)雜的攻擊,無法進(jìn)行有效防護(hù)。