Mike Cote,戴尔SecureWorks副总裁

随着全球范围内安全攻击种类日趋多样,中小企业通过组织内部资源去保护自己对抗网络威胁的任务正变得日益困难和复杂,这种威胁包括通过网络发生的数据泄露、员工导致的数据泄露或笔记本电脑/移动设备丢失等。同时,由此导致的诉讼案件也日益增多,中小企业由于银行账户被网络窃贼盗窃而导致的损失高达六位数美金。这些事故的责任被推到了首席信息官(CIO)和IT经理身上,中小企业也由于没有采取恰当的预防措施保护自己的数据而受到指责。中小企业现在面临的信息安全压力比以往任何时候都要严峻。

据估算,网络骗子在美国和欧洲每年给中小企业造成高达10亿美元的损失。这方面的一个典型案例是发生在美国缅因州一家小型家族制建筑公司 (PATCO Construction)PATCO是网络犯罪的受害者,2009年公司为此遭受50万美元的损失。公司只通过银行追回了15万美元,并为剩余的35万美元而将银行告上法庭。20115月,法庭做出了有利于银行的判决,声称银行遵守了2005年出台的美国联邦金融机构审查委员会(FFIEC)有关网上银行多重身份验证的指导方针,因此PATCO只能自行承担数十万美元的损失。

另一个例子与加利福尼亚拆迁公司Ferma有关。在2009年夏季,一名职员点开了一个恶意网站链接。网络罪犯利用这种手法,侵入了对方的电脑,从他们的银行中盗取了将近50万美元。Ferma追回了60%左右的遗失款。然而Ferma总裁称,银行拒绝偿还余款,并在其他款项里扣押了至少5万美金,直到Ferma签署文件同意不会就余下损失问题来起诉银行。

一次财务攻击就能让一家小企业被迫逐出市场或让一家中型企业的年利润大幅缩水。财务事故的风险对于中小企业来说生死攸关。

下面的8个简单步骤可帮助企业保护财务数据和降低风险:

  1. 使用专用计算机处理财务事宜,例如网上银行和账单支付。此计算机不能用来开展不相关的活动,例如发送和接收电子邮件或网上冲浪。浏览网页和恶意电子邮件是恶意软件两个主要的传播媒介。
  2. 避免点击不信任来源的链接或电子邮件附件。即使您能识别发送人,如果邮件不应当出现附件或看起来有点可疑,那么您应当在点击任何链接或附件前向发送人确认。
  3. 定期核对您的银行对账单和网上银行和∕或信用卡交易,即时发现可能意味账户被窃取的非正常交易。
  4. 建议您的员工避免访问那些包含体育、电脑游戏等特定论坛的小型托管网站,这些小论坛通常都由互联网服务提供商(ISP)托管,他们并不会付出心力和成本下去保护被托管网站的安全。
  5. 如果您正在访问一个网站,但是不确定这个网站是否有病毒,可以观察这个网站的质量。如果这个网站是简单拼凑而成的,或者网站有免责声明,警告浏览有风险,并指出网站作者不对您在这个网站上可能看到的任何内容负责,那么您就要小心了。
  6. 选择杀毒软件提供商前要做调查,确保杀毒软件不仅能抵挡关键威胁,而且还能在新病毒出现时快速提供保护。购买杀毒产品,而不是使用“试用版”作为自己的防护源。杀毒产品的试用版拿来测试当然没有问题,但是无法更新,因此任何在试用版发布后出现的病毒都会对您的电脑构成威胁。
  7. 确保公司上下都配备有安全防护系统,定期安装软件和电脑操作系统的更新。
  8. 安装软件时要小心(尤其是一些夸大其词的软件,例如下载加速器、间谍软件移除工具等。),注意网站要求用户下载∕执行∕或运行特权操作的弹出窗口。通常这类免费软件和弹出窗口都会内嵌恶意软件。

结语:财务事故的后果处理比前期预防代价更为高昂。千万不要等到出事了才知道安全防护是如何的重要,而应未雨绸缪,在出事之前将安全防护措施布置到位。