华盟君引言““小企业网络安全援助法”可以为企业主提供政府级工具,以保护小型企业免受攻击。”
猖獗的恶意软件,勒索软件和网络犯罪的最佳方法可能是公共和私营部门之间更强有力的合作。
美国国会以“小企业网络安全援助法案”(SBCAA)的形式对即将出现的6万亿美元的网络安全问题进行了这种解决方案。这是两党共同提出的一项法案,正如美国目前所希望的那样,也是一个令人鼓舞的迹象,表明问题出在政府关注的问题上。
遗憾的是,“小企业网络安全援助法”已经收集到了 批评和批评者,有些人说它没有达到标记。让我们来看看为什么会出现这种情况以及该法案实际包含哪些内容可能会或可能不会对担心的企业主有价值。
SBCAA要求完成什么?
该法案的两个主要共同赞助者 – 参议员加里彼得斯和马可卢比奥 – 构成了SBCAA的使命,主要是教育小企业主加快解决网络犯罪相关问题的教育工作,例如:
- 当今世界各种各样的网络威胁
- 小企业主面临的潜在风险
- 可用于帮助他们保护自己的工具
小型企业界必须明白,它们代表了网络犯罪所涉及的威胁表面的一个更大 – 而不是更小的一部分。小企业主不太可能采取足够的措施来保护他们的数字系统,因此比大公司更容易遭受数据泄露或勒索软件攻击。
根据“小企业网络安全援助法”,企业主可以访问美国小企业发展中心(SBDC),获取教育材料,参加计划,并与国土安全部的代表合作,以更好地了解和应对网络威胁和风险。显然,意图和期望的结果正朝着正确的方向发展。
问题是:小企业发展中心究竟是什么?
背后有限基础设施的好主意
像美国的许多公共服务一样,小型企业发展中心在理论上很精彩,但一直资金不足 – 尽管它们有价值 – 并且对于最需要帮助的社区来说,大多数人都不知道。除此之外,SBDC还提供商业咨询服务以及地方,州和联邦政府合规和援助计划的信息。
但由于这项服务资金不足且无人问津,美国只有63个这样的中心 – 每个美国州和地区只有一个。相比之下,尽管该公司当年招聘的员工人数不到20万,但美国在2018年的星巴克店面近14万家。
与此同时,SBDC的63个地点旨在支持整个美国小企业界。2016年,员工人数少于100人的公司占美国劳动力的33.4%,而500人以下的公司占近一半。
许多针对SBCAA的批评都扼杀了缺乏基础设施和公众意识。指定额外资金可能有助于提高SBDC的公众形象,并让更多人了解他们的存在。但这还不确定,看起来SBCAA似乎没有解决现有的资金缺口问题。
据报道,该法案允许小企业发展中心在其他政府机构准备好后,利用现有资金提供网络安全资源。但关键词是“当前的资金。”像沃顿商学院那样,SBDC因为缺乏资金而已经面临关门。在没有相应增加资金的情况下增加对员工的要求可能会毫无结果。
除缺乏资金和意识外,另一个问题是大量小企业主在云端开展业务。因此,他们将大部分IT和数字系统架构工作(包括数据托管服务)外包给第三方。
对小企业主进行有关这些第三方在其运营中应遵循的安全最佳实践的教育可能是非常有用的 – 无论是通过法律还是根据常识。没有用的是对所有错误处理或错误放置客户数据的大公司进行适当严厉的罚款,或者因为他们有恶意的意图,这样做是没有用的。
由于滥用数据隐私和安全性,欧盟暂时放弃罚款,但现在已有的通用数据保护法规赋予政府这样做的权力。在美国实施类似措施之前,美国各州独立留给那些不认真对待网络安全或客户隐私的优秀公司。如果美国政府不准备退缩,那么为教育小企业界网络安全而采取的任何措施都不会有太大益处。
探索的另一个潜在的富有成效的途径是提供补助金或补贴,以帮助小企业主购买网络责任保险。并非所有小企业主都知道这些产品存在,但这些服务可以在小企业成为网络犯罪的受害者后保持运营。
互联网安全并不奢侈
有些人似乎满足于让网络安全仍然是竞争优势或奢侈品。其他人认为,在保持数字资产安全方面,小企业家和大公司的买入应该是相同的。每个人都有权在网上保持安全 – 这不应该是只有有钱的利益才能享受的东西。
SBCAA是一个善意的措施,是根据美国传统赋予人们通过他们自己的引导和诀窍来提升自己的传统。
但是,如果没有更强大的支持系统,它就有可能证实许多人已经相信的东西 – 政府在问题上投入资金而不是解决问题。最好将SBCAA视为迈向更好的第一步。
更好的第二稿将支持DHS-SBDC合作的建议,增加资金以及对网络安全错误的数据处理者采取适当的惩罚措施。
