企業資訊安全事件爆髮式增長年損失超百億

金融、網際網路、工業企業成攻擊重點

新興資訊技術的快速應用,為各類企業的發展提供了便利,但同時也讓企業面臨巨大的資訊安全風險。《經濟參考報》記者近日從多個權威機構獲悉,過去兩年,企業資訊安全事件數量相比以往大幅增長,給企業造成的損失每年達百億元之巨,並有繼續快速增長的趨勢。

來自普華永道的調查報告顯示,2015年和2016年,中國內地及中國香港企業檢測到的資訊安全事件平均數量高達2577起,與2014年相比上升了969%。360、阿里巴巴、騰訊等網際網路企業,以及公安部、工信部下屬機構的監測數據同樣令人吃驚:2016年監測到的企業資訊安全事件數量已超過萬起,較2014年增長了近十倍,且這些安全事件均給企業帶來了不同程度的經濟損失。

據介紹,目前監測到的企業安全事件僅是冰山一角。公安部和360公司的安全專家向《經濟參考報》記者表示,針對企業資訊安全的攻擊或犯罪,並不會馬上顯現,有些特定的攻擊方式會潛伏數年之久,而目前監測到的多是已顯現出危害或已發現攻擊痕跡的企業資訊安全事件。因此,實際上企業遭受攻擊的數量要遠高於目前各類企業和機構所監測到的數據。

根據上述公司和機構的監測數據估算,目前我國因資訊安全事件給企業造成的損失每年達百億元之巨。“這並非危言聳聽。”360安全專家裴智勇博士表示,2016年僅360監測到的企業資訊安全事件就超過1萬起,並且每一起給企業造成的直接經濟損失都超過了100萬元。裴智勇認為,由於針對企業的攻擊多數具有隱蔽性,在給企業造成直接經濟損失的同時,還會在一定程度上給企業造成其他意想不到的傷害。因此,他認為各類資訊安全事件給企業造成的真實損失遠遠超過百億元。

值得注意的是,部分監測數據還顯示,近年來金融、網際網路、工業企業遭到攻擊的數量明顯增加,已經成為駭客和不法分子攻擊的主要對象。一家國內銀行管理層人士告訴記者,在2010年前後,國內銀行IT系統就曾監測到了針對性的攻擊行為。另外,新型APT(高級持續威脅,Advanced Persistent Threat)攻擊數量近年來呈快速上升趨勢,這意味著包括銀行在內的國內金融機構,正進入資訊安全高危期。

有業內人士表示:“如果遭到攻擊,更換系統對於國內銀行來説將是一筆巨大開支。不僅如此,數以億計的賬戶資訊,也有可能受到威脅。如果儲戶認為錢存在銀行不再安全,對於銀行和金融機構而言,將是致命的打擊。”

360公司提供給《經濟參考報》的調查報告顯示,早在2004年就發現了針對國內金融機構進行攻擊的不法組織,這一組織針對國內金融機構的各類攻擊已持續了12年,並且攻擊頻率從2012年開始明顯提高,其主要攻擊對象為基金、證券、保險、理財和資産管理等多種類型的國內金融機構,還包括一部分的個人股民。

除金融機構外,上述調查報告還顯示,網際網路和工業企業近年來也成了被攻擊的重點對象。目前,部分國內網際網路企業已被曝光遭受了不同程度的攻擊,而工業企業遭受攻擊的案例也在快速攀升。裴智勇表示,由於金融、網際網路和工業企業一方面服務於廣大用戶,另一方面又和經濟運作息息相關,因此很容易成為不法分子的攻擊對象。

部分機構預測,由於新興資訊技術的快速應用,以及我國加速推進製造業和網際網路融合發展,未來我國企業的資訊化程度將越來越高,但相應的風險也可能進一步提升。360公司的監測數據顯示,截至2016年年底,有36個境外APT組織持續對國內企業和機構進行了攻擊,而在幾年前,這一數字還只是個位數。此外,普華永道等第三方機構的調研數據表明,目前國內多數企業對可能發生的資訊安全攻擊,還沒有採取有效的防護措施,部分採取了防護措施的企業投入也十分有限,僅能應對一些技術水準較低的攻擊,而對針對性的攻擊或者APT等更為複雜的攻擊,無法進行有效防護。