中小微企业数字安全报告（中英文正式版，150页）

在 2021 年全年，每月通过 360 安全卫士反勒索 服务和 360 解密大师渠道，提交申请并确认感染勒 索病毒的有效求助量情况。2021 年全年,360 反勒索 服平台、360 解密大师两个渠道，一共接收并处理 了超 4100 位遭遇勒索病毒攻击的受害者求助，其中 超 4000 位经核实确认为遭受了勒索病毒的攻击。Verizon 发布的《2021 数据泄露调查报告》显 示，大多数违规行为（由于黑客攻击）归因于密码 泄露和弱密码问题。所有违规行为中有 29%（无论 攻击类型如何）都与被盗的密码有关。弱密码主要 存在的问题有如下三点：  1）密码存储：大多数中小企业员工依靠人类记 忆来存储帐户登录名和密码（只有三分之一 使用密码管理器）；  2）密码强度：超过四分之一的受访者对所有帐 户使用相同的密码；  3）网络安全文化：中小企业员工经常与同事共 享密码，并在个人和企业帐户之间共享密码。 随着网络意识的提高，以及中小型企业都承认 其网络安全工作所带来的风险和影响。中小微企业 之所以往往面临着因员工使用弱口令而导致的泄露 风险，这是因为人们对弱口令可能造成的损害总体 上缺乏认识。内部威胁是由员工、前员工、业务承包商或员 工的行为对组织造成的风险。这些参与者可以访问 有关公司的关键数据。

来自 Verizon 2021 数据泄露 调查报告的最新研究表明，内部人员对大约 22%的 安全事件负责。这是一个日益严重的问题，内部威 胁可能使公司和客户处于危险之中，或导致公司的 财务损失。在中小微企业中，内部威胁正在增长， 因为越来越多的员工可以访问多个账户，这些账户 拥有更多数据。研究发现，62%的员工报告说，他们 曾访问过可能不需要访问的账户。内部威胁对任何 组织来说都是一个主要的安全问题[20]。供应链安全是供应链管理的一部分，重点是对 外部供应商、物流和运输等的风险管理。它的目标 是识别、分析和减轻作为供应链一部分的其他组织 工作中所固有的风险。供应链安全既涉及与产品有 关的物理安全，也涉及软件和服务的网络安全。本 报告主要关注的是软件供应链安全问题。  中小微企业通常是软件供应链的一个环节，并 且是供应链最弱的一环。据 360 数据统计显示，有 76.9%的中小微企业受访者认为未来因合作方发生 网络安全事件会引发其自身安全风险增加，并且有 12.8%的受访者经历过因为合作方所引起的网络攻 击和数据泄露事件。其中 56.4%的受访者表示会把 安全风险评估做为与第三方交易或参与的主要决定 因素，而 43.6%的受访者表示会考虑合作方的安全 问题，但是不影响其继续与其进行合作。