网络安全初创企业行动计划

2024年11月 作者 萨米拉·希哈布是AC Ventures的价值创造负责人及高级合伙人。 苏比安托是印度尼西亚PwC的合伙人，首席数字与技术官 Indra Allen 是普华永道印度尼西亚的合伙人。 安杰洛·维贾亚是一位AC风投的价值创造专业人才。 安德鲁·特尔塔加亚是一家位于印度尼西亚的PwC的风险保证总监 本尼·塞蒂亚迪是普华永道印度尼西亚的风险保证高级经理 Roro Astuti他/她是普华永道印度尼西亚的资深管理顾问。 Roselyn Widjaja是普华永道印度尼西亚的资深风险保证顾问。 普特里·纳里萨里亚是PwC印度尼西亚的风险保证助理。 普华永道免责声明 本出版物仅为了对有关事项提供一般性指导，不构成专业建议。您在未获得具体专业建议的情况下不应依据本出版物中的信息采取行动。关于本出版物中所含信息的准确性或完整性，不论明示或暗示，均不提供任何保证或担保。在法律允许的范围内，PwC印度尼西亚及其成员、雇员和代理人不对您或任何其他人因依赖本出版物中的信息或据此作出的任何决定而产生的任何后果承担或假定任何责任、义务或注意义务。 文件或从普华永道获得的信息不得全部或部分提供给任何其他人/机构，除非我们事先书面批准，我们可自主决定批准、拒绝或以条件（包括关于法律责任或无责任的条件）批准。 普华永道印度尼西亚由KAP Rintis, Jumadi, Rianto & Rekan，PT PricewaterhouseCoopers Indonesia Advisory，PT Prima WahanaCaraka，PT PricewaterhouseCoopers Consulting Indonesia和PwC Legal Indonesia组成，每个都是独立的法律实体，共同构成了普华永道全球网络在印尼的成员公司，统称为普华永道印度尼西亚。 © 2024 PwC. 所有权利保留。 PwC指代PwC网络以及/或其一个或多个成员公司，每家成员公司都是一个独立法人实体。请参阅http://www.pwc.com/structure获取更多详细信息。 前言 122904. 创业公司核心网络安全原则 2001. 简介 0606. 展望未来 3502. 设定舞台 09第三章：了解网络安全威胁态势05. 制定网络安全策略 在数字化转型的时代加速发展的背景下，全球范围内，管理网络安全已成为企业的一个关键关切。随着我们步入2025年，优先考虑网络安全的紧迫性不容忽视，尤其是对于初创企业来说更是如此。新兴企业专注于创新和增长，在保护其数字资产免受日益复杂的网络威胁方面面临着独特的挑战。根据普华永道2024年全球数字信任洞察报告，数据泄露的频率和经济影响正在以惊人的速度上升。 前言来自普华永道印度尼西亚 在导航这个复杂景观时，仅仅投资先进技术是不够的。它要求一种涵盖人员、流程和技术在内的全面方法。随着生成式人工智能的出现，网络安全景观有望进一步演变，既带来新的威胁，也呈现创新的防御机制。普华永道2024年全球数字信任洞察报告为那些旨在增强其网络安全态势并保护其数字资产的公司提供了一个至关重要的指南。 我们感谢AC Ventures给予PwC印度尼西亚成为AC Ventures知识合作伙伴的机会。我们自豪地支持了AC Ventures通过出版这份针对初创企业的网络安全手册，并且最重要的是，为提升印度尼西亚的网络安全态势做出了贡献。 我们相信这份操作手册可以成为有价值的信息来源和创业公司的参考。同时，我们也要感谢所有抽出时间参与本手册出版的各方。 苏比安托 Indra Allen合作伙伴，印度尼西亚普华永道 合伙人，首席数字与技术官，印度尼西亚普华永道 近18个月来，技术领域的发展可谓是令人惊喜不已。其中，最具颠覆性的进步之一便是生成式AI的发展，它不仅影响了技术行业，还波及了更广泛的企业界，但其全面影响尚待观察。 序言来自AC企业 在同一时间段内，我们观察到的另一个趋势是全球范围内网络安全事件的增加，这影响了全球企业和我们印尼本地的企业。在AC Ventures，我们认识到网络安全对于保护我们的投资组合公司数据、运营和声誉至关重要。我们对网络安全的这一承诺是我们更广泛治理努力的一部分，确保我们的投资组合公司保持安全。 这导致我们与PwC印度尼西亚合作共同编写了这份针对初创企业的网络安全手册。该手册阐述了为什么初创企业需要在一开始就优先考虑网络安全，提供了指导，并概述了构建网络安全框架的具体步骤。 我们的与普华永道印度尼西亚的合作汇集了两家领先组织的优势：从AC Ventures对印度尼西亚初创生态系统深入理解中汲取洞见，以及普华永道在全球范围内的广泛网络安全专业知识。这一合作伙伴关系反映了我们共同致力于网络安全治理的承诺。 我们谨向PwC印度尼西亚公司表示深深的感谢，感谢我们长期以来的合作关系。我们希望这份实用手册能够为印度尼西亚充满活力且持续增长的创业生态系统贡献力量，加强其对网络攻击的防御能力，并帮助创业公司为其业务建立安全且可持续的基础。 创始合伙人，AC风险投资 主要负责人 & 创值总监，AC风险投资公司 尽管其重要性不言而喻，网络安全往往被初创企业忽视。这是可以理解的，因为早期初创企业往往更专注于构建业务基础和开发产品。他们的大部分时间用于研究市场、识别差距、理解客户需求以及完善产品。 随着初创公司的发展和成熟，它们越来越意识到网络安全的重要性，这通常是由更充裕的财务资源或扩大的技术团队所推动。在一些公司，这导致成立了专门的信息技术或安全团队。 不幸的是，对于一些初创企业来说，只有在经历了数据泄露、钓鱼攻击或系统入侵等事件后，网络安全才会成为优先事项。因此，网络安全往往被降至较低优先级，通常被视为次要关切。 然而，这种自满的成本可能很高。根据普华永道（PwC）2024年《全球数字信任洞察报告》，数据泄露在医疗保健、科技媒体和电信、金融服务、能源、公用事业和资源、工业和汽车以及零售和消费者等领域的平均成本为15亿印尼盾。重大数据泄露事件在频率、规模和成本上都在不断升级，过去三年中，有36%的公司报告称，与数据泄露相关的成本超过100万美元，比上一年增长了27%。此外，普华永道2024年年度企业董事调查报告指出，64%的董事会增加了分配给网络安全问题的时间。 在此背景下，AC Ventures正在与PwC印度尼西亚合作编写这份针对初创公司的网络安全手册。我们采访了几位AC Ventures投资组合公司的高级技术官（CTO）、首席信息与技术官（CITO）以及技术工程部门负责人，以收集他们对初创公司面临的安全挑战的第一手见解。您将在本手册中找到他们的一些见解。 目标是为初创企业提供一本实用的指南，帮助它们建立稳健的网络安全态势。我们理解资源可能有限，而且对增长的重视可能会使得分配足够的注意力给网络安全变得具有挑战性。因此，本操作手册旨在提出可操作的观点和策略，这些观点和策略可扩展和适应处于不同成熟阶段的初创企业。 在接下来的几页中，以下是您可以从本指南中期待的要点： 核心网络安全原则 常见初创企业面临的网络安全威胁 法规遵从与数据保护 制定定制化的网络安全策略 到这份剧本结束时，我们希望您对网络安全格局有更清晰的理解，并配备了必要的知识和工具来保护您的初创公司免受潜在威胁。 搭建舞台 平均大规模数据泄露的成本对公司而言是显著的。对于医疗保健行业，成本约为530万美元，而技术、媒体和电信（TMT）行业大约为480万美元，金融服务行业则大约为500万美元。 这些违规行为的成本正在上升。同一份报告指出，从2023年到2024年，成本有所上升。 过去三年中组织遭遇的最严重数据泄露事件的预计成本 2024年报告的1,000,000美元以上安全漏洞百分比：总计为36%，2023年总计为27%。 此外，普华永道2025年全球数字信任洞察报告确定了最令人担忧的前五大网络安全威胁——与云相关的威胁、黑客入侵和泄露操作、第三方数据泄露、针对联网产品的攻击以及勒索软件——正是这些安全管理人员感到最缺乏应对准备的问题。这一差距凸显了加强投资和增强应对能力的迫切需求。 网络威胁不仅针对大型公司，也针对初创企业。由于初创企业通常在一个快节奏的环境中运营，在此环境中保护知识产权、保护客户数据和维持股东信任至关重要，因此它们特别容易受到网络安全的攻击。 初创企业尤其容易受到攻击，因为它们通常缺乏大型企业那样的强大安全基础设施。一次成功的网络攻击可能会扰乱业务运营，导致停机、生产力下降和重大的补救成本。普华永道的研究发现突出了网络安全姿态方面，顶尖表现者与其它参与者之间的差异： 理解：网络安全威胁景观 现在，让我们深入探讨构成网络安全威胁的因素，以及生成式人工智能（67%）和云计算技术（66%）在其中所扮演的角色。 景观正在演变。值得注意的是，在过去一年中，网络攻击面有所扩大，这使得公司更容易受到复杂威胁的侵害。生成式AI还可以降低较不复杂的威胁行动者的进入门槛，使他们能够大规模地构建有效的网络钓鱼攻击和深度伪造。 也在扩展攻击面的是其他技术，如连接设备和运营技术（OT），这将影响制造业、医疗保健和能源等行业。随着更多设备变得互联互通，确保这些系统变得更加困难。此外，尽管量子计算仍处于地平线之外，但42%的安全主管报告称，它已经迫使他们解决漏洞。 存在一些可能针对网络攻击面进行的常见网络攻击，包括电子邮件攻击、软件供应链破坏、账户破坏和勒索软件。以下是对这些网络威胁的详细分析。 普华永道洞察：常见网络攻击 随着网络攻击、云安全漏洞和社会工程方案的增多，以下是威胁行为者发起攻击的常见方式。 来源：普华永道《监督网络安全风险：董事会的角色》 AC Ventures 视角 在AC Ventures，我们认识到网络攻击对初创公司所提出的挑战——无论是在全球范围内还是在更接近家门的范围内。这些事件可能导致财务损失、声誉损害，以及潜在的客户信任流失，所有这些都构成了重大的障碍。对初创公司来说，意识到这些风险并采取主动、深思熟虑的步骤来应对它们至关重要，而不是等待做出反应。 通过与我们的投资组合公司紧密合作，我们见证了积极进取的态度和明智的决策是如何显著增强初创公司的网络安全并保护其关键资产的。 网络犯罪分子利用这一点，通过发起包括网络钓鱼、恶意软件、勒索软件、数据泄露和拒绝服务攻击在内的各种攻击。以下是对常见网络威胁类型的解释： 恶意软件攻击01恶意软件，包括病毒、蠕虫和特洛伊木马，渗透系统以中断操作、窃取信息或获取未授权访问。这些恶意程序如果未被发现，可能会造成广泛的损害。 钓鱼攻击02钓鱼攻击仍然是影响最广泛的网络威胁之一。攻击者通过欺骗性的电子邮件、消息或网站，诱骗个人透露敏感信息，如登录凭证或财务细节。在初期阶段，初创公司由于缺乏复杂的网络安全协议，特别容易受到钓鱼攻击。钓鱼攻击对新兴企业构成重大威胁，这些企业通常缺乏全面的保护工具，例如通过密码管理器获取独家资源访问权限或所有应用的多因素身份验证。除了简单的凭证盗窃，钓鱼攻击还可以成为更严重的网络犯罪的大门，包括部署勒索软件、建立未授权的访问点以及策划供应链泄露。 网络卫生薄弱03内部漏洞带来重大风险。员工有意或无意地可能会泄露敏感数据或授予网络犯罪分子未经授权的访问权限，导致数据泄露。缺乏定期的软件更新和不足的安全措施创造了网络犯罪分子可以利用的漏洞。 04不良密码使用习惯 密码质量差并非最大的密码相关安全威胁之一。 密码被重用。使用同一密码于多个账户的行为导致凭据填入式攻击，黑客会将窃取的电子邮件和密码组合放入大量应用程序中，以获取未经授权的访问。密码以明文形式共享。- 分享敏感的个人信息，包括但不限于明文形式的登录凭证，可能导致通过网络嗅探、中间人攻击和邪恶双胞胎攻击等手段窃取此类数据。密码经常被遗忘并手动重置。当您点击“忘记密码”按钮以重置与第三方应用程序关联的账户