国外中小企业网络安全保护举措及对我国的启示

孙舒扬 刘玉琢

摘   要：中小企业作为数字经济中数量最庞大、创新最活跃的市场主体，在全球价值链、供应链中正扮演着越来越重要的角色。然而由于意识缺失、资源有限等多种原因，中小企业网络安全防护普遍不足，面临网络安全事件时往往毫无还手之力，严重影响了中小企业的高质量发展。西方多国已开始认识到中小企业网络安全保护的重要性，通过完善法律、加强指导以及建立认证体系等方式提升中小企业网络安全保障能力。我国应充分借鉴西方国家有益经验，进一步提升中小企业网络安全保护意识，构建分级分类的网络安全保护体系，不断加强针对中小企业的网络安全服务。

关键词：中小企业;网络安全;网络安全保护

中图分类号：TP393          文献标识码：A

Abstract： As the largest and most innovative market entity in the digital economy， SMEs are playing an increasingly important role in global value chains and supply chains. However， due to various reasons such as lack of consciousness and limited resources， cybersecurity protection of SMEs is generally insufficient. When facing cybersecurity incidents， they often have no power to fight back， seriously affecting the high-quality development of SMEs. Many western countries have begun to recognize the importance of cybersecurity protection for SMEs， and strengthen the network security capabilities of small and medium-sized enterprises by improving laws， strengthening guidance， and establishing certification systems. China should make full use of the beneficial experience of Western countries， further enhance the awareness of cybersecurity protection of SMEs， build a hierarchically classified cybersecurity protection system， and continuously strengthen cybersecurity services for small and medium-sized enterprises.

Key words： SMEs; cyber security; cyber security protection

1 引言

中小企业作为我国国民经济和社会发展的生力军，贡献了全国50%以上的税收，60%以上的GDP，70%以上的技术创新成果和80%以上的劳动力就业，是建设现代化经济、推动经济实现高质量发展的重要基础。2018年10月24日，习近平总书记在考察广州明珞汽车装备有限公司时曾指出，中小企业在国内经济发展中，起着不可替代的重要作用。因此，推动中小企业健康发展，对建设现代化经济体系，提高全要素生产率，增強我国经济创新力和竞争力具有重大意义。随着数字经济的快速发展，作为数量最庞大的市场主体，中小企业也逐渐踏入了数字化进程，从使用简单的孤立解决方案转变为拥抱更多互连的系统，有效地推动了行业发展。然而由于意识缺失、资源有限等多种原因，中小企业网络安全防护能力普遍不足，面临网络安全事件时往往难以有效应对，严重影响了中小企业的高质量发展。本文分析了当前中小企业面临的网络安全挑战，梳理了国外政府提升中小企业网络安全保护水平的主要措施，并提出了针对我国相关问题的意见和建议。

2 中小企业面临的网络安全挑战

随着互联网与产业融合的深入，中小企业业务的开展越来越依赖于信息技术与网络技术，但是由于网络安全意识淡薄，企业价值持续提升，安全事件应对能力缺失，其所面临的网络安全挑战也不断增大。

2.1 网络安全保护意识淡薄

中小企业通常忽略了成为网络犯罪分子攻击目标的可能性。网络安全公司Keeper Security与Ponemon Institute在其2018年中小型企业网络安全形势报告中指出，一些中小企业认为其组织太小，不会成为网络犯罪分子的目标。而在小型企业保险专业公司InsuranceBee的调查中，超过一半的企业认为其业务遭受网络攻击的可能性不大，甚至有6%认为永远不会发生。但是事实上，由于安全基础设施和安全实践均不够成熟，越来越多的攻击开始瞄准中小企业。2019年，Senseon公司发布的《中小企业网络态势报告》中指出，随着互联网和云计算的引用，中小企业受攻击的界面越来越大。根据Hiscox公司调查数据显示，2019年有47%的小型企业（1-49人）和63%的中型企业（50-249人）遭遇网络事件，分别比2018年增加了14%和27%。此外，由于中小企业的网络安全防护意识淡薄，与大型企业所面临的网络安全威胁也存在区别。例如，赛门铁克公司2019年互联网安全威胁报告显示，与在大型组织工作的人员相比，较小组织的员工更容易受到垃圾邮件、网络钓鱼和电子邮件恶意软件等电子邮件威胁的攻击。Keeper Security与Ponemon Institute的报告显示，2018年中小企业因员工和承包商疏忽而造成的数据泄露事件占比达60%。

2.2 企业价值不断提升

中小企业作为最活跃的经济体，是数字经济的重要组成部分，在全球经济价值链中的地位也不断提升。如今，依靠众多中小企业来支持核心业务功能已成为大型企业的常态，大量中小企业为大型企业提供专业服务，是大型企业供应链上无法忽视的一环，访问大型企业数据及其内部系统的情况也很常见，这种互联性进一步增大了中小企业遭受网络攻击的风险。尽管对于中小企业的攻击难以像对大型企业的攻击那样给犯罪分子带来丰厚的回报，但是由于其安全防护能力有限，网络攻击成本低、成功率高，常被网络攻击犯罪分子视为窃取大型企业数据的捷径和开展针对大型企业的攻击的跳板。例如2018年7月，加拿大一家为汽车制造商和供应商生产自动化程序的工程服务供应商Level One Robotics and Controls因未设置有效地用户访问权限，导致近4.7万份工厂文件泄露，内容包括产品设计原理图、装配线原理图、工厂平面图、采购合同等敏感信息，影响遍及特斯拉、丰田、大众、福特、通用等多家知名大型车企。

2.3 网络安全事件应对能力不足

网络攻击往往带来重大的经济损失，如付赎金的成本、可能丢失的数据的成本、持续的系统中断、停机时间、违规罚款以及法律费用等。思科公司的《2018安全能力基准研究》指出，约54%的网络攻击造成经济损失超过50万美元，IBM和Ponemon Institute的2019数据泄露成本报告指出全球数据泄露成本平均达到392万美元，这样昂贵的成本足以让中小企业永久关停。而由于中小企业资源有限，网络安全往往并不被认为是其关键业务风险，Barclaycard公司最新调查数据显示，仅有20%的中小企业将网络安全问题放在优先地位。因此，中小企业一方面缺乏网络安全专项资金。瞻博网络研究2018年的一项研究指出，小型企业每年在消费级网络安全产品上花费的平均数量仅为500美元。InsuranceBee调查显示，83%的中小企业缺乏应对网络安全事件的资金储备。另一方面缺乏网络安全专业人员，小型企业网络安全专业公司Continuum报告指出，62%中小企业缺乏网络安全相关技能，仅41%有网络安全专家。缺乏预算和专业知识使中小企业难以有效地实施网络安全策略，在遭遇网络安全事件后往往难以应对。

3 西方国家保障中小企业网络安全的主要举措

西方多国已逐渐开始意识到中小企业网络安全保护的重要性，主要通过健全法律制度、强化安全指导和明确认证体系等方式持续强化中小企业网络安全防护能力，进而提升国家网络安全保障水平。

3.1 健全法律制度

美国政府长期以来高度重视中小企业网络安全问题，参、众两院议员提出大量推动中小企业网络安全保护的法案，从法律层面明确加强中小企业网络安全保护的要求。2018年8月，美国总统特朗普签署《小型企业数据安全保护法》，提出依托美国国家标准与技术研究院（NIST）制定的标准和技术优势提升小型企业应对网络攻击的能力，要求联邦标准与技术研究院为小企业免费提供网络安全防御标准和工具，保护小型企业免受网络攻击，缩小中小企业与大企业在网络安全保护方面的差距。2019年参、众两院持续提出多项加强中小企业网络安全的法案，如《小型企业网络安全援助法案》要求小型企业发展中心为小型企业提供网络安全援助，《小型企业网络培训法案》要求小型企业发展中心的员工提升网络安全专业水平，以指导企业进行网络安全。除对政府部门提出要求外，美国政府也要求中小企业采取安全措施，如2017年发布的《小型企业促进网络安全增强法案》（草案），要求小型企业建立网络安全部门，开展威胁信息共享。

3.2 强化安全指导

除在法律中明确网络安全防护要求外，多国政府与相关机构制定大量针对中小企业网络安全的指南，如欧盟2017年出台《中小企业个人数据处理安全指南》、澳大利亞2017年发布《小型企业网络安全最佳实践指南》、加拿大2019年制定《中小型组织基线网络安全控制》、日本2019年提出《中小企业信息安全指南》等，均为本国中小企业开展网络安全规划，制定网络安全策略，提升网络安全水平提供了具有针对性的指引。此外，部分国家还提供网络安全规划工具等其他方式指导，如美国联邦通信委员会开发的Small Biz Cyber Planner 2.0系统，企业可选择所需安全模块，在线制定个性化的网络安全规划。

3.3 明确认证体系

尽管多国已经制定了适应中小企业热点的网络安全指南，但是限于资源和力量不足，中小型企业往往无法建立全面的网络风险管理计划，也难以向其客户证明自身网络安全保障水平。为此，部分国家提出通过构建网络安全认证体系为企业提供网络安全保障水平证明。如加拿大在2019年8月公布面向中小企业的自愿性认证CyberSecure Canada，经认证机构的审核证明符合基线网络安全控制要求的中小型企业，将被授予为期两年的认证，有权使用加拿大联邦政府认可的网络安全标志，企业可以此为证据向客户证明其符合基本网络安全实践要求。欧盟在《通用数据保护条例》《网络安全法》等重要法案中提出了创立欧盟统一的网络安全认证框架。中小企业可根据网络安全认证的要求有针对性地完善其安全保障措施，利用有限的成本达到最佳效果。

4 对我国的启示

中小企业作为我国数字经济中数量最庞大、创新最活跃的市场主体，其网络安全问题直接影响了我国经济的健康发展，本章结合西方国家保障中小企业网络安全的主要举措，提出对我国的几项意见和建议。

4.1 提升中小企业网络安全保护意识

近年来，中央高度关注中小企业发展，习近平总书记与其他中央领导均对于中小企业的发展作出了重要指示。中央、国务院与相关主管部门陆续发布《中小企业促进法》《关于促进中小企业健康发展的指导意见》《促进中小企业发展规划（2016-2020年）》等多项促进中小企业发展的重要政策，但是其中对于网络安全鲜少着墨，中小企业网络安全问题尚未提升到国家战略层面，中小企业网络安全问题的关注程度仍需持续提升。

4.2 建立分级分类的网络安全保护体系

中小企业面临的网络安全威胁和需开展的网络安全防护活动与大型企业存在区别，现有的网络安全保护政策措施与最佳实践对于中小企业并非完全适用，可能难以达到预期目标。我国目前实行的网络安全等级保护制度是按照网络重要程度与可能造成危害程度划分等级，提出相应级别的网络安全防护要求，尚未针对不同规模企业的网络安全防护开展专门指导。行业主管部门应充分考虑中小企业网络安全保护中切实存在的问题和需求，有针对性的提出区别于大型企业的网络安全保障措施，构建分级分类的网络安全保障体系。

4.3 加强针对中小企业的网络安全服务

缺乏资金、能力不足等是目前中小企业开展网络安全保障能力建设的重要障碍。除制定面向中小企业的网络安全指导性文件外，行业主管部门还需引导研究机构、企业积极开展针对中小企业网络安全的研究，为中小企业提供种类丰富、更有针对性的网络安全产品与服务，在提升中小企业网络安全能力的同时，推动中小企业网络安全相关产业的发展。

5 结束语

当前，我国中小企业正处于数字化转型发展的关键时期，与西方发达国家中小企业数字化程度仍存在较大差距，宜充分借鉴西方国家经验做法，加强我国中小企业网络安全保护工作前瞻性研究，强化网络安全管理，保障我国中小企业数字化健康转型。

参考文献

[1] 杜向文.中小企业的网络安全[J].计算机安全，2006（8）：47-50.

[2] 郭兰坤.浅谈中小企业网络安全问题[J].中小企业管理与科技（下旬刊），2013（2）：213-214.

[3] 何昊坤，李璐.ICT供应链安全管理风险识别研究[J].网络空间安全，2019（4）：37-42.

[4] 劉洋.中小企业网络安全问题及其解决方案[D].南昌大学， 2016.

[5] 独立行政法人情報処理推進機構.中小企業の情報セキュリティ対策ガイドライン[EB/OL]. （2019-09-02）.https：//www.ipa.go.jp/files/000055520.pdf

[6] Australian Small Business and Family Enterprise Ombudsman. Cyber Security： The Small Business Best Practice Guide[EB/OL]. （2017）. https：//www.asbfeo.gov.au/sites/default/files/documents/ASBFEO-cyber-security-research-report.pdf.

[6] Canadian Centre for Cyber Security. Baseline Cyber Security Controls for Small and Medium Organizations[EB/OL]. （2019）. https：//cyber.gc.ca/sites/default/files/publications/Baseline Cyber Security Controls%20 for Small and Medium Organizations.pdf.

[7] National Cyber Security Centre. Small Business Guide： Cyber Security[EB/OL]. （2017）. https：//www.ncsc.gov.uk/files/cyber_security_small_business_guide_1.3..pdf.