2023年业务影响报告：小型企业和网络攻击

目录 关于供应链数据的一个词违反11 曾几何时，小企业和solopreneurs确实不是网络犯罪分子最喜欢的目标。攻击者倾向于选择拥有大量现金和数千名员工的更大、数据丰富的组织，在这些组织中，平均法则意味着更容易找到一个被钓鱼攻击的人。 这些趋势与ITRC在消费者影响和数据泄露方面看到的模式相同：2021年是攻击的高峰年，2022年由于多种因素而小幅减少，包括俄罗斯入侵乌克兰和加密货币市场的中断。从那时起，就像合法的股票市场一样，身份犯罪市场已经适应了导致2022年袭击减少的条件，并在2023年以复仇的方式反弹。 正如您将在随后的页面中看到的那样，与2022年相比，针对小型企业的首次攻击数量跃升了18个百分点。与此同时，更多的中小企业领导人认为他们已经准备好应对网络攻击者。2022年，70% (70%)的中小企业认为他们已经准备好抵御网络攻击或数据泄露。今年，这一数字为85% (85%)。 至少自2020年以来，情况并非如此，在过去的一年中，针对小企业的攻击数量大幅增加。在我们的第三个年度ITRC业务影响报告, 我们在2023年探讨的一个新领域是新的或新兴的数据安全工具的概念。正如您所注意到的，诸如多因素身份验证（MFA）之类的新解决方案和诸如数据最小化之类的实践在获得认可方面进展缓慢。MFA的利用率从34％（34％）到诸如通行密钥之类的新工具的20％（20％）不等。 73％（73％）的中小企业所有者或领导者表示，他们在过去的12个月中经历了数据泄露，网络攻击或两者兼而有之。 同样，隐私保护尚未完全成为主流。选择退出数据收集或删除有关您的信息的能力仍然远远低于40％（40％），即使更多的州转向采用自己的全面隐私法。 中小企业领导者比以往任何时候都更加关注数据安全和隐私保护。这是个好消息，但我们仍有大量工作要做。今年我们将创下数据泄露的历史新高，在接下来的几个月和几年里，很可能会经历一场身份欺诈的海啸。 我们的希望是，您将使用此处提供的信息和ITRC提供的工具来帮助您的中小型企业抵御网络攻击，并应对我们知道不可避免的数据妥协。如果您有问题或需要帮助，请询问。如果您有建议，也请分享这些想法。只需发送电子邮件至communications @ idtheftcenter.org。 我们需要加快向新的保护措施的过渡，并继续开发新的资源，以根据扎实的研究和明确的证据来帮助受害者，这与我们最近对黑人社区身份犯罪的研究类似。这种增强的保护和有针对性的受害者支持的两种结合将帮助我们适应网络犯罪分子不断变化和无情的威胁。 伊娃·贝拉斯奎兹,CEO Methodology ITRC使用SurveyMonkey平台进行了一项在线调查，以探讨网络犯罪对美国小企业管理局定义的小企业的影响。该调查于2023年9月进行，涵盖了前12个月（除非在特定问题中另有说明）。 在线问卷由551人完成；276人符合成为500名或更少员工的公司的领导职位或IT专业人员的标准，其中包括solopreneurs。一百九十九（199）人报告说在过去的12个月中是网络攻击，数据泄露或两者的受害者。 今年的报告反映了从单一员工公司到拥有500名员工的组织等企业的回应。这些回应还反映了广泛的行业，零售实体略有集中。 我们的2023年业务影响报告调查了数据或安全漏洞后小企业和solopreneurs发生的具体情况。在这份报告中，ITRC调查了551名小企业主、领导者和员工，描绘了受网络犯罪严重影响的小组织和个人，通常在短时间内多次受到网络犯罪的影响。 主要调查结果摘要 2023年重点发现首题总结与分析 2023年主要研究结果总结与分析 对ITRC的2023年商业影响调查做出回应的小企业领导人描述了一种安全和数据保护格局，反映了ITRC其他研究中反映的同样广泛趋势：身份和网络犯罪的总体增加。2023年的研究记录了BIR三年历史中报告攻击的企业水平最高（73％）。图2 尽管出现了强烈的负面趋势，但小企业主仍对自己应对所面临威胁的能力以及攻击成功后的恢复选择表现出极大的信心。尽管2022年受访者中有70％（70％）表示他们已准备好抵御网络攻击或从数据泄露中恢复， 2023年，85%的受访者表示他们已经准备好应对网络事件。图3 员工和消费者数据仍然是受违规行为影响最大的信息类别。图4 报告首次攻击的组织数量与2022年(43%)持平。图5 与前几年相比，2023年泄露的根本原因发生了变化，外部攻击者、恶意员工、 远程工作人员和第三方供应商采取了最高的位置，但费率降低。由网络钓鱼和诈骗造成的违规行为增加了与广泛的趋势保持一致。 图6 与前几年相比，网络漏洞的财务影响继续下降，更多的中小企业报告损失< 250, 000美元，更少的中小企业报告更高的美元价值事件。图7 网络保险成为恢复资金的主要来源（33％），其次是现金储备。裁员（13％）略有增加，以解决违规成本。图8 图7|攻击的财务影响 绝大多数经历过数据泄露的组织向受影响的消费者发送了通知（83％），但 17％（17％）没有。图9 延迟或不发布违规通知的最常见原因是应执法部门的要求（50％），其次是发现没有个人信息被暴露（38％）或自决没有风险。图10 随着越来越多的组织发布数据泄露通知，更多的实体还提供了更广泛的恢复服务，包括信用监控(44%)、付费身份恢复服务(47%)和通过非营利组织获得免费服务(27%)。大约13% (13%)没有提供服务。图11 报告收入损失的组织略少（42%） 作为网络事件的结果。然而，更多的企业看到其他影响，包括更多的客户失去信任（32％），更多令人遗憾的员工流失率（32％）以及更难以理解发生了什么。图12 第一次提问 每年，ITRC都会探讨与网络安全和数据保护有关的新主题。2022年，我们探索了社交媒体账户接管的兴起以及与身份欺诈的关系。在这份报告中，我们向中小企业领导人询问了在没有国家隐私法的情况下，基于州一级全面数据隐私和安全法的兴起，账户访问和数据使用的最新最佳实践。 调查结果表明，各种完善的最佳实践以及保护个人和商业信息的新技术或流程的采用速度很慢。绝大多数中小型企业没有使用诸如多因素身份验证(MFA)等工具供员工或客户使用、强制性强密码或基于角色的访问以用于员工访问敏感数据。根据解决方案，采用率在34％（34％）和20％（20％）之间。图13 The2023年业务影响报告消费者数据收集、使用和存储的采用率相似，旨在保护个人信息和隐私。采用率从37%(37%)到21%(21%)不等，部分原因是各州法律要求数据最佳实践，包括数据访问、选择加入数据收集、 选择退出数据销售，以及更正和删除某些信息的类型。图14 今年收集的信息将成为2024年后续研究的基础，以探索采用最佳实践的障碍。 关于供应链数据泄露的一个词 2023年数据妥协的数量将创下单年纪录。随着这份报告于10月份发布，2023年报告了超过2100项数据妥协，远远超过了2021年创下的1862项年度最高纪录。迄今为止，已有1300多家组织受到了针对87家供应商的攻击，其中许多是属于大型组织供应链的中小企业。 在网络保险要求、州隐私法和联邦法规的推动下，组织加强了尽职调查，这正在产生对过去数据泄露事件信息的需求，并在发现新的泄露事件时提供近乎实时的警报。ITRC为各种规模的组织创建了一个漏洞警报解决方案，这将有助于满足公司和法律要求，以了解供应商（和供应商的供应商）的网络安全历史和性能。 有关业务违规警报的更多信息，请联系DorindaMiller,业务发展总监. 消费者和企业资源 ITRC为小型企业提供各种低成本的身份教育，保护和恢复服务，并为消费者提供免费的受害者援助和教育机会。要了解更多信息，请发送电子邮件dorinda @ idtheftcenter.org. 对于媒体 对于任何与媒体相关的查询，请发送电子邮件media@idtheftcenter.org. Appendix ITRC使用SurveyMonkey平台进行了一项在线调查，以探讨网络犯罪对美国小企业管理局定义的小企业的影响。该调查于2023年9月进行。 2023年商业影响研究 2023年商业影响研究 您是拥有少于500名员工的小型企业的所有者或领导者，其中包括solopreneurs和零工？ 安全或数据泄露的总体财务影响是多少，包括收入损失、客户流失、法律费用、罚款和处罚、保险、营销费用、安全性提高等？ 您是否向受违规行为影响的客户或消费者提供了以下任何补救服务？ 来自营利性身份管理提供商、网络安全公司或消费者报告机构的付费补救服务。 您如何解决数据的财务影响或 安全事件?选择所有适用的选项。