“当前，中小微企业正面临严峻数字安全风险，成为数字安全的重灾区和数字安全屏障的短板。”2022年6月9日，中国中小企业协会联合三六零（股票代码：601360.SH，以下简称360）天枢智库，发布了首份《中小微企业数字安全报告（2022年）【公开意见征集版】》（以下简称“报告”）。 360集团副总裁、首席安全官杜跃进博士表示，通过走访调查发现，近半数中小微企业去年遭受过网络攻击，超9成企业遭受攻击后无法完全解决问题。

　　杜跃进表示，中小微企业的安全问题可引发供应链安全问题，因此其数字安全建设更需要以能力为导向，以“低成本模式”提供SaaS化服务，聚焦关键风险，实现持续赋能，才能更好地应对不断升级的数字安全挑战。

　　疫情迫使企业快速适应数字化引发安全新挑战

　　报告显示，疫情加速了中小微企业数字化转型。疫情初期，利用数字技术的企业比例为31%，疫情暴发后7至12个月内，这一数据便上升到44%，而对数字解决方案进行新增投资的企业比例也从17%增加到29%。

　　但此时安全风险也开始遍布所有数字化场景，带来了全新的数字安全挑战。报告指出，由于对数字安全重视程度不够，中小微企业在享受数字化转型带来的红利的同时，也面临着数字安全风险：一是尚未充分认识到数字安全带来的严重影响，二是普遍缺乏应对数字安全风险的安全能力，长此以往将严重受制于数字安全“短板”。

　　超8成勒索攻击针对中小微企业

　　事实上，中小微企业正在面对高级别、复杂的网络攻击。

　　报告显示，我国有超过95.3%的中小微企业面临非常严峻的数字安全威胁，大量的安全问题长期无法解决。在过去12个月，针对我国中小微企业最具破坏性的数字攻击威胁分别是恶意软件入侵（68%）、勒索攻击（65.3%）、系统漏洞（64%）和网络钓鱼（42.7%）。

　　此外，黑客正在把攻击目标从大企业转向防御能力更弱的中小微企业，这成为一个新的趋势。报告指出，2021年，81.6%的勒索软件攻击针对的是员工人数少于1000人的中小微企业，许多勒索团伙开始转变战术，试图勒索那些规模大到能够支付赎金且规模又足够小的公司，这样可以降低执法机构的关注。

　　报告分析认为，中小微企业对数字安全认知不足、资金缺乏、缺乏适合的安全措施、以及员工安全意识和素养不到位，是其开展数字安全建设的重要障碍，也是其数字安全能力普遍不足的重要原因。360中小微企业问卷调查显示，60%的受访者在数字安全方面的年投入不超过10万元，此外有81%的受访者认为自身防御能力不足，无法应对黑客攻击，需要获得外界的帮助。

　　构建社会化大合作让中小微企业数字安全不掉队

　　“传统企业级安全方案并不合适中小微企业。”杜跃进表示，这是因为随着数字安全问题越来越复杂，中小微企业和大企业之间数字安全实践的差距正在拉大，“中小微企业在数字化业务场景、数字安全预算、安全能力提升、应急响应等方面都存在特定的安全需求，而传统企业级安全方案很难灵活、敏捷地进行适配。”

　　他认为，中小微企业数字安全建设关键在于提高其数字安全能力，需要为它们提供低门槛的、可持续的、可定制的安全产品和服务，做到“数字安全一个都不能少”，筑牢数字安全的整体屏障。而要实现这个目标，就需要做好以下五点：

　　一是中小微企业需要采用能力思维，以实战为目标，从产品主导转向能力主导的数字安全建设；

　　二是为资金、技术、人才受限的中小微企业提供免费或低成本的数字安全服务，降低数字安全威胁在供应链扩散的系统性风险；

　　三是通过SaaS服务采用中小微企业数字安全“云上赋能”的模式，有效保障数字安全能力的灵活部署和可定制化；

　　四是将有限的资源投入到最迫切的数字安全能力中，逐步分期开展数字安全体系建设，保障中小微企业数字安全建设的可持续性；

　　五是数字安全服务提供商要构建能够覆盖中小微企业数字环境的安全大脑体系，实现持续赋能。

　　杜跃进表示，关于中小微企业数字安全的未来远景，应该以能力为导向，在云端构建数字安全社会化大合作。中小微企业的数字安全非一家机构或企业能够解决，360希望能在中国中小企业协会指导下，发起成立“中小微企业数字安全联盟”，与各界同行携手解决我国中小微企业所面临的数字安全问题。