中小微企业是国家经济的“毛细血管”,既是税收和就业的“半壁江山”,也是产业供应链体系的重要一环。在产业数字化转型的进程中,大量中小微企业积极拥抱数字技术,通过数字化转型提高产品竞争力和运营效率。但是,中小微企业数字安全得不到足够重视,普遍缺乏安全能力,可能成为数字安全屏障的短板。
全国政协委员、360集团创始人、中国计算机学会计算机安全专业委员会副主任周鸿祎表示,在万物互联时代,中小微企业是供应链攻击的跳板,极有可能成为国家数字安全的缺口。网络战是整体战,不区分大中小微企业,而且中小微企业往往是关键基础设施和大型企业供应链中的一环。如果在数字化的同时,没有补足安全短板,黑客组织就能以中小微企业为跳板,针对大型企业、政府和关键信息基础设施发起供应链攻击,造成重大安全事件。
勒索攻击、数据泄露等安全风险对中小微企业正常经营活动带来极大威胁。中小微企业由于缺乏网络安全防御措施、网络安全设备和专业人士,一旦被黑客组织直接攻击或所使用的软件供应商被攻击,就有导致业务停摆的风险。温州一家超市今年年初就受到勒索病毒攻击,黑客向其索要0.042枚比特币(总价值约12000元)作为赎金,且支付赎金后黑客并未恢复超市数据,严重影响正常运转。
周鸿祎表示,造成中小微企业数字安全能力不足的原因包括三方面:一是重视不足,很多人认为中小微企业不是网络攻击的主要对象,从而忽视中小微企业的安全能力建设;二是投入不足,中小微企业更愿意把资金、人力投在数字化上,在数字安全方面却投入甚少,甚至零投入;三是供给不足,市场上的安全产品和服务多数是针对大型客户,专业性门槛高,中小微企业面临不会用、没人用的问题。
周鸿祎表示,提高中小微企业数字安全能力,在提高重视的同时,需要针对中小微企业提供专门的安全产品和服务,做到“数字安全一个都不能少”,筑牢国家数字安全的整体屏障。
一是建议出台专项政策,明确中小微企业应具备的数字安全能力要求。一方面,把数字安全能力建设纳入中小微企业发展规划,引导中小微企业提高数字安全能力建设;另一方面,有关政府部门、大型企业及关键基础设施在采购政策中明确对供应链中小微企业的数字安全能力要求,在采购中小微企业的数字化产品时,以能力为导向进行数字安全评估,从源头上夯实供应链安全的底座。
二是借鉴免费杀毒的模式,鼓励大型安全企业提供中小微企业的轻量化免费安全服务,让中小微企业数字安全不掉队。建议相关部门以政策鼓励、提供服务补贴、税收减免等方式,鼓励大型企业为中小微企业提供免费或低成本的数字安全SaaS服务和相关产品,包括提供终端、网络、软件、数据、资产等全方位安全防护与管理服务,降低中小微企业享受数字安全服务的成本与门槛,为中小微企业向“专精特新”数字化发展提供安全保障。