企業(yè)信息安全事件爆發(fā)式增長 年損失超百億

金融,、互聯(lián)網,、工業(yè)企業(yè)成攻擊重點

新興信息技術的快速應用,，為各類企業(yè)的發(fā)展提供了便利,，但同時也讓企業(yè)面臨巨大的信息安全風險,?！督洕鷧⒖紙蟆酚浾呓諒亩鄠€權威機構獲悉,，過去兩年,，企業(yè)信息安全事件數(shù)量相比以往大幅增長,，給企業(yè)造成的損失每年達百億元之巨,，并有繼續(xù)快速增長的趨勢。

來自普華永道的調查報告顯示,，2015年和2016年,，中國內地及中國香港企業(yè)檢測到的信息安全事件平均數(shù)量高達2577起，與2014年相比上升了969%,。360,、阿里巴巴、騰訊等互聯(lián)網企業(yè),，以及公安部,、工信部下屬機構的監(jiān)測數(shù)據(jù)同樣令人吃驚：2016年監(jiān)測到的企業(yè)信息安全事件數(shù)量已超過萬起，較2014年增長了近十倍,，且這些安全事件均給企業(yè)帶來了不同程度的經濟損失,。

據(jù)介紹，目前監(jiān)測到的企業(yè)安全事件僅是冰山一角,。公安部和360公司的安全專家向《經濟參考報》記者表示,，針對企業(yè)信息安全的攻擊或犯罪，并不會馬上顯現(xiàn),，有些特定的攻擊方式會潛伏數(shù)年之久,，而目前監(jiān)測到的多是已顯現(xiàn)出危害或已發(fā)現(xiàn)攻擊痕跡的企業(yè)信息安全事件。因此,，實際上企業(yè)遭受攻擊的數(shù)量要遠高于目前各類企業(yè)和機構所監(jiān)測到的數(shù)據(jù),。

根據(jù)上述公司和機構的監(jiān)測數(shù)據(jù)估算,，目前我國因信息安全事件給企業(yè)造成的損失每年達百億元之巨,。“這并非危言聳聽,?！?60安全專家裴智勇博士表示，2016年僅360監(jiān)測到的企業(yè)信息安全事件就超過1萬起,，并且每一起給企業(yè)造成的直接經濟損失都超過了100萬元,。裴智勇認為，由于針對企業(yè)的攻擊多數(shù)具有隱蔽性,，在給企業(yè)造成直接經濟損失的同時,，還會在一定程度上給企業(yè)造成其他意想不到的傷害。因此，他認為各類信息安全事件給企業(yè)造成的真實損失遠遠超過百億元,。

值得注意的是,，部分監(jiān)測數(shù)據(jù)還顯示，近年來金融,、互聯(lián)網、工業(yè)企業(yè)遭到攻擊的數(shù)量明顯增加,，已經成為黑客和不法分子攻擊的主要對象,。一家國內銀行管理層人士告訴記者，在2010年前后,，國內銀行IT系統(tǒng)就曾監(jiān)測到了針對性的攻擊行為,。另外，新型APT(高級持續(xù)威脅,，Advanced Persistent Threat)攻擊數(shù)量近年來呈快速上升趨勢,，這意味著包括銀行在內的國內金融機構，正進入信息安全高危期,。

有業(yè)內人士表示：“如果遭到攻擊,，更換系統(tǒng)對于國內銀行來說將是一筆巨大開支。不僅如此,，數(shù)以億計的賬戶信息,，也有可能受到威脅。如果儲戶認為錢存在銀行不再安全,，對于銀行和金融機構而言,，將是致命的打擊?！?/p>

360公司提供給《經濟參考報》的調查報告顯示,，早在2004年就發(fā)現(xiàn)了針對國內金融機構進行攻擊的不法組織，這一組織針對國內金融機構的各類攻擊已持續(xù)了12年,，并且攻擊頻率從2012年開始明顯提高,，其主要攻擊對象為基金、證券,、保險,、理財和資產管理等多種類型的國內金融機構，還包括一部分的個人股民,。

除金融機構外,，上述調查報告還顯示，互聯(lián)網和工業(yè)企業(yè)近年來也成了被攻擊的重點對象,。目前,，部分國內互聯(lián)網企業(yè)已被曝光遭受了不同程度的攻擊,，而工業(yè)企業(yè)遭受攻擊的案例也在快速攀升。裴智勇表示,，由于金融,、互聯(lián)網和工業(yè)企業(yè)一方面服務于廣大用戶，另一方面又和經濟運行息息相關,，因此很容易成為不法分子的攻擊對象,。

部分機構預測，由于新興信息技術的快速應用,，以及我國加速推進制造業(yè)和互聯(lián)網融合發(fā)展,，未來我國企業(yè)的信息化程度將越來越高，但相應的風險也可能進一步提升,。360公司的監(jiān)測數(shù)據(jù)顯示,，截至2016年年底，有36個境外APT組織持續(xù)對國內企業(yè)和機構進行了攻擊,，而在幾年前,，這一數(shù)字還只是個位數(shù)。此外,，普華永道等第三方機構的調研數(shù)據(jù)表明,，目前國內多數(shù)企業(yè)對可能發(fā)生的信息安全攻擊，還沒有采取有效的防護措施,，部分采取了防護措施的企業(yè)投入也十分有限,，僅能應對一些技術水平較低的攻擊，而對針對性的攻擊或者APT等更為復雜的攻擊,，無法進行有效防護,。記者 侯云龍 北京報道