新興信息技術(shù)的快速應(yīng)用,為各類企業(yè)的發(fā)展提供了便利,但同時(shí)也讓企業(yè)面臨巨大的信息安全風(fēng)險(xiǎn)?!督?jīng)濟(jì)參考報(bào)》記者近日從多個(gè)權(quán)威機(jī)構(gòu)獲悉,過(guò)去兩年,企業(yè)信息安全事件數(shù)量相比以往大幅增長(zhǎng),給企業(yè)造成的損失每年達(dá)百億元之巨,并有繼續(xù)快速增長(zhǎng)的趨勢(shì)。
來(lái)自普華永道的調(diào)查報(bào)告顯示,2015年和2016年,中國(guó)內(nèi)地及中國(guó)香港企業(yè)檢測(cè)到的信息安全事件平均數(shù)量高達(dá)2577起,與2014年相比上升了969%。360、阿里巴巴、騰訊等互聯(lián)網(wǎng)企業(yè),以及公安部、工信部下屬機(jī)構(gòu)的監(jiān)測(cè)數(shù)據(jù)同樣令人吃驚:2016年監(jiān)測(cè)到的企業(yè)信息安全事件數(shù)量已超過(guò)萬(wàn)起,較2014年增長(zhǎng)了近十倍,且這些安全事件均給企業(yè)帶來(lái)了不同程度的經(jīng)濟(jì)損失。
據(jù)介紹,目前監(jiān)測(cè)到的企業(yè)安全事件僅是冰山一角。公安部和360公司的安全專家向《經(jīng)濟(jì)參考報(bào)》記者表示,針對(duì)企業(yè)信息安全的攻擊或犯罪,并不會(huì)馬上顯現(xiàn),有些特定的攻擊方式會(huì)潛伏數(shù)年之久,而目前監(jiān)測(cè)到的多是已顯現(xiàn)出危害或已發(fā)現(xiàn)攻擊痕跡的企業(yè)信息安全事件。因此,實(shí)際上企業(yè)遭受攻擊的數(shù)量要遠(yuǎn)高于目前各類企業(yè)和機(jī)構(gòu)所監(jiān)測(cè)到的數(shù)據(jù)。
根據(jù)上述公司和機(jī)構(gòu)的監(jiān)測(cè)數(shù)據(jù)估算,目前我國(guó)因信息安全事件給企業(yè)造成的損失每年達(dá)百億元之巨。“這并非危言聳聽(tīng)。”360安全專家裴智勇博士表示,2016年僅360監(jiān)測(cè)到的企業(yè)信息安全事件就超過(guò)1萬(wàn)起,并且每一起給企業(yè)造成的直接經(jīng)濟(jì)損失都超過(guò)了100萬(wàn)元。裴智勇認(rèn)為,由于針對(duì)企業(yè)的攻擊多數(shù)具有隱蔽性,在給企業(yè)造成直接經(jīng)濟(jì)損失的同時(shí),還會(huì)在一定程度上給企業(yè)造成其他意想不到的傷害。因此,他認(rèn)為各類信息安全事件給企業(yè)造成的真實(shí)損失遠(yuǎn)遠(yuǎn)超過(guò)百億元。
值得注意的是,部分監(jiān)測(cè)數(shù)據(jù)還顯示,近年來(lái)金融、互聯(lián)網(wǎng)、工業(yè)企業(yè)遭到攻擊的數(shù)量明顯增加,已經(jīng)成為黑客和不法分子攻擊的主要對(duì)象。一家國(guó)內(nèi)銀行管理層人士告訴記者,在2010年前后,國(guó)內(nèi)銀行IT系統(tǒng)就曾監(jiān)測(cè)到了針對(duì)性的攻擊行為。另外,新型APT高級(jí)持續(xù)威脅,Advanced Persistent Threat攻擊數(shù)量近年來(lái)呈快速上升趨勢(shì),這意味著包括銀行在內(nèi)的國(guó)內(nèi)金融機(jī)構(gòu),正進(jìn)入信息安全高危期。
有業(yè)內(nèi)人士表示:“如果遭到攻擊,更換系統(tǒng)對(duì)于國(guó)內(nèi)銀行來(lái)說(shuō)將是一筆巨大開(kāi)支。不僅如此,數(shù)以億計(jì)的賬戶信息,也有可能受到威脅。如果儲(chǔ)戶認(rèn)為錢存在銀行不再安全,對(duì)于銀行和金融機(jī)構(gòu)而言,將是致命的打擊。”
360公司提供給《經(jīng)濟(jì)參考報(bào)》的調(diào)查報(bào)告顯示,早在2004年就發(fā)現(xiàn)了針對(duì)國(guó)內(nèi)金融機(jī)構(gòu)進(jìn)行攻擊的不法組織,這一組織針對(duì)國(guó)內(nèi)金融機(jī)構(gòu)的各類攻擊已持續(xù)了12年,并且攻擊頻率從2012年開(kāi)始明顯提高,其主要攻擊對(duì)象為基金、證券、保險(xiǎn)、理財(cái)和資產(chǎn)管理等多種類型的國(guó)內(nèi)金融機(jī)構(gòu),還包括一部分的個(gè)人股民。
除金融機(jī)構(gòu)外,上述調(diào)查報(bào)告還顯示,互聯(lián)網(wǎng)和工業(yè)企業(yè)近年來(lái)也成了被攻擊的重點(diǎn)對(duì)象。目前,部分國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)已被曝光遭受了不同程度的攻擊,而工業(yè)企業(yè)遭受攻擊的案例也在快速攀升。裴智勇表示,由于金融、互聯(lián)網(wǎng)和工業(yè)企業(yè)一方面服務(wù)于廣大用戶,另一方面又和經(jīng)濟(jì)運(yùn)行息息相關(guān),因此很容易成為不法分子的攻擊對(duì)象。
部分機(jī)構(gòu)預(yù)測(cè),由于新興信息技術(shù)的快速應(yīng)用,以及我國(guó)加速推進(jìn)制造業(yè)和互聯(lián)網(wǎng)融合發(fā)展,未來(lái)我國(guó)企業(yè)的信息化程度將越來(lái)越高,但相應(yīng)的風(fēng)險(xiǎn)也可能進(jìn)一步提升。360公司的監(jiān)測(cè)數(shù)據(jù)顯示,截至2016年年底,有36個(gè)境外APT組織持續(xù)對(duì)國(guó)內(nèi)企業(yè)和機(jī)構(gòu)進(jìn)行了攻擊,而在幾年前,這一數(shù)字還只是個(gè)位數(shù)。此外,普華永道等第三方機(jī)構(gòu)的調(diào)研數(shù)據(jù)表明,目前國(guó)內(nèi)多數(shù)企業(yè)對(duì)可能發(fā)生的信息安全攻擊,還沒(méi)有采取有效的防護(hù)措施,部分采取了防護(hù)措施的企業(yè)投入也十分有限,僅能應(yīng)對(duì)一些技術(shù)水平較低的攻擊,而對(duì)針對(duì)性的攻擊或者APT等更為復(fù)雜的攻擊,無(wú)法進(jìn)行有效防護(hù)。