近期,全球恶性勒索病毒将网络安全又一次推上了风口浪尖。然而,明枪易躲,暗箭难防,黑客组织明目张胆地勒索,我国针对企业的网络攻击虽早已存在,但各类企业还是难以幸免。在这其中,中小型企业一方面缺乏网络安全投资和必要防护手段,另一方面中小企业的创业创新,尤其是小微型创业公司对互联网依赖度较高,一旦遭到网络攻击将受到较大影响。

中小企业遭遇网络攻击的现实缩影

刘某是武汉一名普通的公司职员,正如千万个普通家庭一样,他是一家人的主要经济来源。在2014-2015年期间,刘某不幸失业,经过再三思考,他决定成立一家维修公司,针对武汉老旧房屋的电路改造、墙地面、门窗、厨卫等设施进行翻新维护。

在向亲戚朋友借了十多万元后,刘某开始注册、租房、雇人、发广告。很庆幸的是,百度广告为他带来了客户来源,2016年刘某的公司已经可以微小盈利,足够负担一家人的生活。

但好景不长,武汉当地一些大维修公司不愿自己利益被瓜分,于是雇人恶意攻击刘某公司的网站,使其瘫痪,让客户无法访问。刘某无论是求助公安还是网警,均被互相推诿,问题得不到解决。

对此,刘某只有两个办法。一个是等,等待攻击结束却又遥遥无期;另一个是换,重新做一个网站,可是又有可能引来二次攻击。在我国,像有刘某这样遭遇的中小企业主还有很多,他们在遭受到恶意的网络攻击时投诉无门、解决无方。

用数据说话 企业受网络攻击已成常态

刘某的案例绝不是个例,而是具有普遍性。腾讯调研我国十余行业500家企业的《CTO企业信息安全调查报告》显示,我国企业受到网络攻击情况普遍,尤其是中小企业面对攻击的抵抗力普遍薄弱。此次调查涉及不同行业、不同规模以及不同区域级别的企业,主要针对企业信息技术部门的CTO,其中,中小型企业受访对象占比在50%以上。

1.我国企业高度依赖网络比例达90.5%,小微企业尤甚

根据参与调查问卷企业的反馈,如图1所示,我国有33.3%的企业开展业务完全依赖网络,离开网络无法经营;32.7%的企业高度依赖网络,大部分业务需要基于网络开展;24.5%的企业比较依赖网络开展业务。从企业规模来看,被调查的创业型的小微企业对网络的依赖度居于榜首,高达98%。

图1 企业业务对互联网的依赖程度

2.45%企业曾发生信息安全事故,电信、商贸行业最易受攻击

总体而言,我国超过45%的企业曾经发生过信息安全事故,按照不同行业近三年遭遇信息安全事故的比例来看,以电信服务和商业/贸易为首,占比分别达到64.3%和60.0%。其次是交通运输、IT/科技/互联网行业和制造业,占比分别为52.4%,48.5%和47.5%,令人惊异的是传统制造业受到网络攻击的比例竟也接近50%。金融、专业服务和其他行业受到攻击的比例均在30%~35%之间(如图2)。

图2 不同行业遭受信息安全事故的比例

3.相比大企业,中小企业信息安全投入和防护更加薄弱

图3 我国不同规模企业的信息安全投入情况

如图3所示,在50人以下的小微企业中,高达39.8%的企业没有任何信息安全投入,50~100人企业中,31.9%的企业没有任何信息安全投入。尤其是对于创业型的小微企业来说,他们前期产品开发、市场推广、人员招募的成本较高,已无力再负担起网络安全的费用。相比而言,大部分大企业有专业的IT部门,配备专业的信息安全团队,每年有信息安全方面的预算,有助于他们抵御网络攻击和修复漏洞。如此一来,当同样受到网络攻击时,中小企业受到的不良影响更加突出。

4.攻击产业链成熟,攻击成本极低

根据360的监测报告显示,恶意网络攻击已出现了成熟的黑色产业链。例如较为常见的DDoS攻击,已形成了包括木马作者、网络黑客、地下承包商、网络黑帮和客户五种角色在内的产业链(如图4)。据测算,该产业链相关黑产团伙6000余个,年产值可超100亿元人民币(下文同为人民币)。用户仅需花费30元(一份外卖的价格),便可以购买50M的日攻击服务。包月费用为500元,即花费500元就可以攻击一个中小企业长达一个月。如此看来,网络攻击的违法成本极低。

图4 DDos攻击黑色产业链(来源:360)

三维度分析网络攻击对中小企业危害

由于大企业IT基础设施投入大,防护手段多,并且具备专业的安全维护人员,因此对网络攻击的抵抗力较强。故以下主要针对中小企业进行危害分析。

1. 直接影响:恶意攻击直接影响中小企业网络流量

据360针对所有企业的流量攻击统计,一次DDoS攻击一般持续4周。到第4周时,23%的企业遭受了致命攻击,即流量减少了70%~100%;13%的企业流量减少了40%~70%,而这些企业绝大部分是缺乏防御手段的中小企业。也就是说,在每遭受网络攻击的4家企业中就有一家会被彻底击垮,而遭受致命影响的往往是中小企业(如图5)。

图5 DDOS攻击对于网站流量的影响(来源:360)

2. 间接影响:恶意攻击为中小企业带来巨大商业损失

例如,对于一个员工人数在20人以下的小微企业来说,若按照平均每个网站的搭建成本为1万元(包括网站设计、制作、设备、运维、推广等基本投入),商业价值为10万元(根据中小企业规模估计,由广告收入、用户缴费收入等评估的网站资本价值)的较低水平来估算,2015年遭到攻击的网站数量为77.6万个,其中约23%的网站(绝大部分为中小企业)被攻击后受到致命影响,面临停服风险,那么DDoS攻击全年损失为

投入成本损失:1万元×77.6万×23%≈17.8亿元

商业价值损失:10万元×77.6万×23%≈178.5亿元

另外,这些损失只简单计算了网站搭建成本和网站带来的收益,并没有计算中小企业主在创建店铺初期的租金、雇佣员工、企业注册、资质审核等成本;也没有计算中小企业在遭受攻击倒闭后,带来的员工失业、家庭失去经济来源等影响。

3. 对社会的外部影响:中小企业破产加大社会不稳定因素

截至2015年末,全国工商登记中小企业超过2000万家,个体工商户超过5400万户,中小企业提供80%以上的城镇就业岗位,成为就业的主渠道。当前中小企业面临许多困境,原材料涨价、融资困难、人工成本高、行业面临转型升级等,许多中小企业纷纷出现倒闭潮。而若是再加上一条网络攻击,1个月的网络攻击足可以让一家中小企业失去客户,无生意可做,这会带来企业倒闭、员工失业、家庭失去经济来源等一系列连锁反应,失去了中小企业这个就业的“蓄水池”,也会对社会稳定带来极大影响。

虽多方入手 但难见管理成效

1. 法律法规:已有相关立法,但配套措施、处罚制度仍需细化

我国1993年颁布的《反不正当竞争法》第六条、2013年颁布的《中华人民共和国电子商务法》第五十五条第三点、2017年6月1日正式施行的《网络安全法》第27条均对商业不正当竞争、网络攻击进行了约束。尽管法律条文已有规定,但是缺乏细化的配套措施和具体的处罚制度,这就导致了虽然网络攻击有法可依,却处罚不力,对违法现象的威慑力不够。

2. 政府监管:监管部门职责不清,职责落实不到位

对于恶意竞争的网络攻击,工信部、公安部、网信办、商务部均可以管,但是目前职责划分不清,导致职责落实不到位。以刘某真实的案例说明,投诉渠道一般有三种:当地网监支队、国家互联网应急中心、公安部的网络违法犯罪举报网站。笔者针对这三种渠道进行了亲身测试,结果如下。

第一,从当地网监处/支队无法获得帮助。

从网络上查询武汉市公安局网监处电话为027-85399217,但经过拨打显示为空号。武汉市网监处位于武汉市发展大道188号,委托刘某亲自去登记立案,但是在长达1个多月的时间内,没有任何反馈。

第二,国家互联网应急中心无法落实解决问题。

国家互联网应急中心的邮箱为cncert@cert.org.cn,通过邮件申诉后无任何回应,故无法落实解决。

第三,通过公安部网络违法犯罪举报网站无法有效申诉。

公安部网络违法犯罪举报网站网址为http://www.cyberpolice.cn/wfjb/html/xxgg/index.shtml,主要是针对在网络上的邪教组织、淫秽色情网站、散布“暴力夺取政权、建立东突国家”等反党反国家言论的,也有针对网络攻击的投诉,但是需要投诉人明确攻击者网站的名称、URL地址,但是许多中小企业毫无监测手段,是无法获知此类信息的,因而无法有效投诉。

3. 电信基础企业:具备骨干网的防护措施,但目前主要针对大型企业

对于网络攻击特别是流量攻击,一级运营商管理运营丰富的骨干网带宽资源,对于大流量及超大流量DDoS攻击具有先天性的压制优势,可以在骨干网层面进行拦截,例如中国电信的云堤解决方案。但目前,云堤的客户主要是中国银行、招商银行、新华社、中国航信等大型企业,对于中小企业的覆盖不够。

4. 互联网企业:有一定阻断网络攻击传播的能力,但目前难以察觉且容易滞后

在事前阶段,互联网公司涉及了用户交互行为的方方面面,互联网公司通过监控治理网络攻击和恶意软件,可以实现遏制攻击,但目前的网络攻击可能采取加密伪装令人难以察觉,并且针对网络攻击的分析样本需要一定的时间,往往较为滞后,导致响应速度难以提升。

5. 中小企业:无有效投诉渠道,缺乏升级防护手段的资金

目前中小企业在遇到攻击后,无法通过有效渠道申诉,目前的网监支队、公安系统、互联网应急中心等渠道并不专门针对网络攻击,导致即使投诉也解决无力,往往中小企业只能坐等攻击结束,上述刘某的真实案例就是等了整整一个月攻击才结束,在这期间刘某无法接到客户的单子,而房租水电人工成本仍需照旧支付,导致公司濒临倒闭。对于市场上一些加强防护的工具、系统、软件往往要价较高,中小企业也是无力负担。

6层面建议 构建攻击防护生态

网络攻击涉及到业务的很多方面,从主管机构、行业机构、社会组织、安全厂商到用户,因此,需从多个层面提出改进建议,未来对主管部门建议如下。

1.完善法律法规执行细则。针对目前已有的《反不正当竞争法》《电子商务法》和《网络安全法》,需尽快出台相关细则,尤其是要明确针对此事的监管部门、执行措施和奖惩制度。要特别明确具体严明的惩罚措施,比如关停网站、根据被攻击企业的损失处以罚款等。

2.明确分工界面,建立多部门的协同监管。网络攻击涉及到商务问题、网站问题、安全问题等,因此需要构建一套“商务部、工信部、公安部”三个部门协同监管的机制,其中需要明确各个部门的监管边界,比如网络黑客企业归工信部管,购买黑客服务的不正当竞争企业归商务部管,特大型网络攻击造成恶劣的社会影响的、形成案件的归公安部管。

3.构建全国统一的网络攻击申诉平台,构建攻击防护生态。目前的申诉渠道都不直接针对网络攻击,并且三种渠道经过测试均无法落实解决,建议未来由商务部和工信部共同建立全国统一的网络攻击申诉平台,专门解决企业的恶意网络攻击事件。平台提供全国统一的申诉入口,如同中国移动的10086电话渠道。申诉电话平台的一端是受到攻击的中小企业,另一端是电信基础运营商、互联网厂商、网络安全型企业,共同为中小企业网络保驾护航。

4.将网络防护功能作为平台的基础设施提供,并建立市场化的激励机制。2016年全国的网络攻击量达156万次,并且每年维持70%~80%的增长,未来不可能只依靠政府,而需要市场化的机制运作。建议将网络防护功能作为平台的基础设施提供给中小企业,当它们受到攻击接入申诉平台后,平台可以立即为他们提供溯源、清洗、过滤、追踪、防御等网络防护功能,仅收取中小企业能够负担得起的费用。提供网络防护功能的企业可获得一定激励,而激励来源可以有政府专项基金、社会资本引入、中小企业缴纳、对违规企业的罚金等,从而形成正向反馈。

5.鼓励运营商、互联网、网络安全企业更好地升级技术手段,提高防护能力。运营商凭借骨干网的多层级架构,可实现近源清洗防护攻击;互联网企业大数据分析,可监控恶意软件样本、追踪网络攻击态势,甚至引入人工智能技术提前预防;网络安全公司可采取跟高级的过滤手段和智能化的防御技术,更好地抵抗网络攻击。

6.加大社会宣传和曝光力度,增强在中小企业中的普及度

一方面需要面向广大中小企业宣传有效的申诉平台、申诉方式,鼓励他们遇到攻击时能够采取法律手段保护自己的权益;另一方面需要加大对不法企业的曝光力度,与各大门户网站和媒体合作,让不法行为给其企业自身带来不良社会和商业影响,从而抑制企业不正当竞争行为。