前言
一般而言,作为一个法律术语,“中小企业”一词首先出现在2002年通过的《中小企业促进法》中,中小企业是指在我国境内依法设立的,人员规模、经营规模相对较小的企业,包括中型企业、小型企业和微型企业。中型企业、小型企业和微型企业划分标准由相关主管部根据企业从业人员、营业收入、资产总额等指标,结合行业特点制定。中小企业是实施大众创业、万众创新的重要载体,在增加就业、促进经济增长、科技创新与社会和谐稳定等方面具有不可替代的作用,对国民经济和社会发展具有重要的战略意义。随着数字经济上升为国家战略,中小企业作为数量最大、最具活力的企业群体,不断加快数字化转型速度。中小企业的数字化发展既面临着机遇,也充满挑战,其中之一便是数字安全风险。
一、中小企业面临的数字安全问题
(一)中小企业的地位举足轻重
中小企业是国家经济的“毛细血管”,是扩大就业、改善民生、促进创业创新的重要力量,是提升产业链、供应链稳定性和竞争力的重要环节。第四次全国经济普查的数据显示,中小企业贡献了50%以上的税收、60%以上的GDP、70%以上的技术创新、80%以上的城镇劳动就业、90%以上的企业数量。
中小企业是制造业数字化转型的主战场,是实体经济发展的主力军。党的十八大以来,党中央将数字经济上升为国家战略,从国家层面部署推动数字经济发展。2022年1月,国务院印发《“十四五”数字经济发展规划》,明确了“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。在数字经济大潮中,数字化已经成为中小企业创业创新、发展壮大的主要方向。
(二)中小企业数字安全令人担忧
调查数据显示,受新冠疫情影响,亚太地区90%的中小企业制定了数字化转型计划。但中小企业的数字化发展之路也面临着诸多风险,其中之一就是数字安全风险。2022年年初,浙江省温州市一家超市收银台的储值卡电脑管理系统遭黑客攻击,黑客向超市索要0.042枚比特币(总价值约12000元)作为赎金,且支付赎金后黑客并未恢复超市数据,严重影响正常运转。可以看出,黑客攻击和勒索的目标已经从大型企业转向了国内的二三线城市的小企业和小商家。
对中小企业的网络攻击,除了直接针对中小企业发起的攻击,更多的是以中小企业为跳板发起的供应链攻击。由于中小企业数字安全基础薄弱,普遍缺乏安全风险防护意识和安全事件处置能力,中小企业已经成为国家数字安全的缺口。如果中小企业在推进数字化进程中不能及时补齐安全短板,黑客组织就可能以中小企业为跳板,针对大型企业、政府和关键信息基础设施发起供应链攻击,严重破坏国家数字安全体系的运行,危及国家产业链和供应链的稳定。
二、数字安全能力建设的几种模式
(一)中小企业自我负担模式
网络战是整体战,大型企业和中小企业都不可或缺,关键信息基础设施、大型企业在国家数字安全体系中的地位毋庸置疑,但中小企业往往是关键基础设施和大型企业供应链中的重要一环,中小企业也应当加强数字安全能力建设。但是,“中小企业自我负担模式”既受制于中小企业的数字安全意识,也取决于中小企业对数字安全成本投入的负担能力。且不说中小企业数字安全意识的提升还有待时日,在新冠肺炎疫情全球蔓延致使经济增速放缓的背景下,中小企业往往无力承担数字化转型中的安全成本投入。
根据《中小企业划型标准规定》(工信部联企业[2011]300号),尽管中小企业的划分标准并非静态的,而要根据《国民经济行业分类》修订情况和企业发展变化情况适时修订,但是,从相关行业中中小企业的从业人员、营业收入、资产总额等指标来看,中小企业抵御风险的能力普遍较弱,更容易受到各种威胁的冲击,如在新冠疫情中便暴露出缺人员、缺市场、缺供给、缺资金、缺服务等诸多问题。在这种背景下,中小企业更愿意把资金、人力投在数字化上,而在数字安全方面投入则严重不足。因此,中小企业自我负担模式尚不是解决中小企业网络安全问题的有效途径。
(二)中小企业网络安全保险模式
为了应对日益严峻的数字化安全风险,市场上已经推出部分网络安全保险产品,但是这些保险产品主要服务于具有一定规模或网络安全建设基础较好的大型企业,而对于网络安全基础薄弱的中小企业的保障相对较少。目前,针对这一真空地带,已陆续有机构推出围绕中小企业的网络安全保险,如市场上推出的网络安全保险中小企业版。这种全覆盖式网络安全保险在投保、承保、事件响应、事后处理等核心环节提供服务,以网络安全保险为核心,服务涵盖开展网络安全核查、风险评估、风险态势监测、风险提示、责任划分、定损评估及理赔等关键环节,其目的是帮助中小企业化解数字安全风险,护航中小企业数字化发展。
网络安全保险产品的保障范围包括网络安全事故发生后,企业承担的自身经济损失和第三方责任,其中,企业自身损失包括事故响应费用、营业收入损失、网络勒索威胁和修复费用等;第三方责任则覆盖数据保密责任、数据安全责任和法律费用。网络安全保险在一定程度上为我国中小企业发展构筑了安全防线,但这种模式的效果还有待观察,一是因为网络安全保险主要是一种事后保障,在风险预警方面发挥的作用相对不足,因此,保险机构在推出中小企业网络安全产品时,必须坚持“网络安全保险与网络风险管理相结合”,或者“网络安全保险与网络风险服务相结合”。二是网络安全保险减轻了中小企业的数字安全成本投入,但其作用的发挥还需要“国家补贴”等配套措施的支持。如原保监会副主席周延礼先生建议,构建“强制、补贴、鼓励”三位一体的政策支持体系,为中小型企业提供网络安全保险购置减税政策、保险购买补贴政策等,以鼓励中小型企业主动投保网络安全保险;针对开展网络安全保险的保险公司推出奖励或补贴政策。
(三)安全企业承担社会责任模式
这种模式是指大型网络安全企业积极履行社会责任,面向中小企业提供低成本甚至免费的安全产品和服务。近期,作为数字安全的首倡者和领军者,360为守护中小企业这一数字安全的薄弱环节,推了出360企业安全云。360企业安全云借助云原生SaaS架构,为中小企业打造智能、灵活、高效的企业级数字化安全与管理平台。终端部署上,360企业安全云采用轻量化在线终端安全与运维管理 SaaS解决方案,终端部署位置、形式、数量、产品更新不设限,无需专业技术人员,连接网络即可快捷部署,打破传统本地部署模式局限,产品体验大幅提升,部署成本大幅降低。
需要注意的是,由网络安全企业向中小企业提供免费安全产品和服务,需要处理好企业承担社会责任与追求利润目标之间的关系。尽管两者之间通常是相辅相成的,只有当企业实现利润最大化时,其才能够更好地承担社会责任,反过来,企业承担社会责任也能够促进其实现利润最大化。但是,企业应以追求利润最大化为其主要目标,而不应异化为承担社会责任的工具。因此,在大型安全企业为中小企业数字安全承担社会责任的同时,我们应在安全评估、政府采购、税收优惠、财政补贴等方面构建配套措施,全方位为中小企业数字化转型保驾护航。
三、解决中小企业数字安全问题的有效路径
中小企业数字安全的保障,需要多主体协同推进,只有秉持“多元共治”的理念,才能为中小企业数字化转型筑牢安全防线。在这一协同推进体系中,立法机关或政策制定部门要构建规则指引,政府部门要灵活运用激励手段,大型安全企业要为中小企业提供免费产品和服务,中小企业要自觉强化数字安全能力。
(一)坚持立法和政策先行
2021年11月,美国众议院通过了《小型企业管理局网络意识法案》和《小企业发展中心网络培训法案》,两项法案旨在加强小型企业的网络安全,从而应对新冠疫情期间美国面临的网络安全威胁。美国众议院国土安全委员会强调,新冠疫情导致大量企业将其业务转移至线上,而小型企业之所以成为网络攻击的主要目标,是因为其缺乏实施和维护网络安全防御所需的资源或技术知识。其中,《小型企业管理局网络意识法案》将要求小型企业管理局发布关于其网络安全能力的报告,并在可能危及敏感信息的网络安全漏洞出现时通知国会;《小企业发展中心网络培训法案》将建立网络安全咨询认证计划,让现有的小型企业发展中心更好地帮助小型企业满足网络安全需求。
对我国而言,中小企业数字安全保障应坚持立法和政策先行,通过建章立制指引中小企业加强数字安全能力建设。在立法条件尚不成熟的情况下,也可以出台政策进行先行先试。当务之急是在相关政策中明确中小企业应具备的数字安全能力要求,例如,将数字安全能力建设纳入中小企业发展规划,甚至在条件允许时纳入《中小企业促进法》,引导中小企业加强数字安全能力建设;再如,在政府采购政策中引入对供应链中的中小企业的数字安全能力要求,在采购中小企业的数字化产品时,以能力为导向进行数字安全评估,从源头上夯实供应链安全的基石。
(二)充分发挥政策激励效用
为加强中小企业数字安全能力建设,政府及其所属部门应积极利用各种政策工具,充分发挥政策激励作用。一方面,是对处于弱势地位的中小企业本身的促进。如2009年国务院印发的《关于进一步促进中小企业发展的若干意见》(国发〔2009〕36号),为促进中小企业发展提出以下意见:进一步营造有利于中小企业发展的良好环境、加大对中小企业的财税扶持力度、加快中小企业技术进步和结构调整、支持中小企业开拓市场、努力改进对中小企业的服务、提高中小企业管理水平。中小企业数据安全能力建设,主要从培育中小企业数字安全意识、增加中小企业数字安全投入等方面着手。
另一方面,是对为中小企业提供服务的大型企业的激励。我们可以借鉴免费杀毒的模式,鼓励大型安全企业为中小企业提供轻量化的免费安全服务,让中小企业数字安全不掉队。建议相关部门以政策鼓励、提供服务补贴、税收减免等方式,鼓励大型企业为中小企业提供免费或低成本的数字安全SaaS服务和相关产品,包括提供终端、网络、软件、数据、资产等全方位安全防护与管理服务,降低中小企业享受数字安全服务的成本与门槛,为中小企业向“专精特新”数字化发展提供安全保障。
(三)安全企业提供免费服务
由于中小企业自身的安全防御能力比较薄弱,靠中小企业自身很难检测到网络攻击,更不用说快速修复漏洞和恢复数据了。2021年,思科公司发布了《中小企业网络安全:亚太区企业为数字化防御做准备》调查报告,报告显示,能在一小时之内检测到被攻击的中小企业只有13%,而在一小时之内能够迅速修复的中小企业比例还不足10%。造成中小企业数字安全能力不足的原因包括三方面:重视不足,投入不足和供给不足。其中,供给不足是指市场上的安全产品和服务多数是针对大型客户,专业门槛较高,中小企业面临不会用、没人用的窘境。供给不足已成为制约中小企业数字化转型的一大痛点。
针对中小企业安全产品和服务供应不足问题,有的企业推出网络安全保险的中小企业版,有的企业则倡导对中小企免费供应安全产品和服务,尤其值得一提的是大型数字安全向中小企业免费提供的安全产品和服务。例如,360依托自身独特优势强力打造了360企业安全云。与此同时,为了帮助中小企业快速稳定实现数字化转型,360推出“乘云计划”再掀免费安全新浪潮,面向中小企业提供百亿补贴,最大覆盖100万家中小企业的1亿终端,护航优秀中小企业数字安全,带动数字安全行业发展,护航国家数字安全战略。
(四)中小企业变被动为主动
如前所述,在中小企业数字化转型过程中,如果不能补齐安全短板,黑客组织就能以中小企业为跳板发动网络攻击,并造成重大安全事故。当前,由于对中小企业的数字安全普及尚不到位、数字安全辅导有待展开,我国中小企业普遍欠缺网络安全意识,从而忽视自身的安全能力建设。调查报告《中小企业网络安全:亚太区企业为数字化防御做准备》显示,过去一年中小企业面对的网络威胁中,恶意软件、网络钓鱼和服务阻断排在前三名,位居榜首的恶意软件攻击了85%亚太区和75%中国区的中小企业。中小企业之所以更容易受到网络威胁的侵害,主要是由于预算不足以及防范意识薄弱等原因造成。
在解决中小企业安全成本投入的顾虑后,我们建议通过网络安全辅导,重点提升中小企业的数字安全意识。在中小企业网络安全辅导方面,网络强国以色列的经验可资借鉴,以色列政府部门非常重视对中小企业进行网络安全辅导及协助,并提供经费给中小企业进行网络安全风险评估及网络安全概念宣导。为了提高中小企业加强数字安全能力建设的内在动力,实现中小企业由被动向主动的转变,建议由国家提供专项经费或者在国家指导下建立专项基金,定期对中小企业开展网络安全宣讲,组织中小企业参加网络安全竞赛,加大对中小企业的网络安全培训,等等。
声明:本文来自360法律研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
