企业信息安全事件爆发式增长年损失超百亿

金融、互联网、工业企业成攻击重点

新兴信息技术的快速应用,为各类企业的发展提供了便利,但同时也让企业面临巨大的信息安全风险。《经济参考报》记者近日从多个权威机构获悉,过去两年,企业信息安全事件数量相比以往大幅增长,给企业造成的损失每年达百亿元之巨,并有继续快速增长的趋势。

来自普华永道的调查报告显示,2015年和2016年,中国内地及中国香港企业检测到的信息安全事件平均数量高达2577起,与2014年相比上升了969%。360、阿里巴巴、腾讯等互联网企业,以及公安部、工信部下属机构的监测数据同样令人吃惊:2016年监测到的企业信息安全事件数量已超过万起,较2014年增长了近十倍,且这些安全事件均给企业带来了不同程度的经济损失。

据介绍,目前监测到的企业安全事件仅是冰山一角。公安部和360公司的安全专家向《经济参考报》记者表示,针对企业信息安全的攻击或犯罪,并不会马上显现,有些特定的攻击方式会潜伏数年之久,而目前监测到的多是已显现出危害或已发现攻击痕迹的企业信息安全事件。因此,实际上企业遭受攻击的数量要远高于目前各类企业和机构所监测到的数据。

根据上述公司和机构的监测数据估算,目前我国因信息安全事件给企业造成的损失每年达百亿元之巨。“这并非危言耸听。”360安全专家裴智勇博士表示,2016年仅360监测到的企业信息安全事件就超过1万起,并且每一起给企业造成的直接经济损失都超过了100万元。裴智勇认为,由于针对企业的攻击多数具有隐蔽性,在给企业造成直接经济损失的同时,还会在一定程度上给企业造成其他意想不到的伤害。因此,他认为各类信息安全事件给企业造成的真实损失远远超过百亿元。

值得注意的是,部分监测数据还显示,近年来金融、互联网、工业企业遭到攻击的数量明显增加,已经成为黑客和不法分子攻击的主要对象。一家国内银行管理层人士告诉记者,在2010年前后,国内银行IT系统就曾监测到了针对性的攻击行为。另外,新型APT(高级持续威胁,Advanced Persistent Threat)攻击数量近年来呈快速上升趋势,这意味着包括银行在内的国内金融机构,正进入信息安全高危期。

有业内人士表示:“如果遭到攻击,更换系统对于国内银行来说将是一笔巨大开支。不仅如此,数以亿计的账户信息,也有可能受到威胁。如果储户认为钱存在银行不再安全,对于银行和金融机构而言,将是致命的打击。”

360公司提供给《经济参考报》的调查报告显示,早在2004年就发现了针对国内金融机构进行攻击的不法组织,这一组织针对国内金融机构的各类攻击已持续了12年,并且攻击频率从2012年开始明显提高,其主要攻击对象为基金、证券、保险、理财和资产管理等多种类型的国内金融机构,还包括一部分的个人股民。

除金融机构外,上述调查报告还显示,互联网和工业企业近年来也成了被攻击的重点对象。目前,部分国内互联网企业已被曝光遭受了不同程度的攻击,而工业企业遭受攻击的案例也在快速攀升。裴智勇表示,由于金融、互联网和工业企业一方面服务于广大用户,另一方面又和经济运行息息相关,因此很容易成为不法分子的攻击对象。

部分机构预测,由于新兴信息技术的快速应用,以及我国加速推进制造业和互联网融合发展,未来我国企业的信息化程度将越来越高,但相应的风险也可能进一步提升。360公司的监测数据显示,截至2016年年底,有36个境外APT组织持续对国内企业和机构进行了攻击,而在几年前,这一数字还只是个位数。此外,普华永道等第三方机构的调研数据表明,目前国内多数企业对可能发生的信息安全攻击,还没有采取有效的防护措施,部分采取了防护措施的企业投入也十分有限,仅能应对一些技术水平较低的攻击,而对针对性的攻击或者APT等更为复杂的攻击,无法进行有效防护。