澳洲告急！千万用户数据泄露，网络安全拿什么拯救？

最近澳大利亚大型公司用户数据泄露发生得有些频繁。

受到网络攻击的影响，澳大利亚最大私人保险公司之一的Medibank，市值一天蒸发了17.5亿澳元！公司自10月19日开始自愿停牌，而在26日恢复交易当日，股价单日跌幅达到18.12%，收于2.88澳元/股。

Medibank首席执行官表示，黑客攻击已致使包括主要的医疗保险Medibank业务、二线医疗保险Ahm业务和国际学生业务在内的所有客户数据被窃取，人数超过400万。26日又传出更重磅的消息：Medibank承认，黑客掌握了其与南澳州政府合作的家庭医院服务（My Home Hospital）的相关数据，至此，州政府也成了受害者。

10月21日，Energy Australia成为新的一家受到网络攻击的公司，导致数百名客户的详细信息被曝光。在当天晚些发布的一份声明中，这家电力公司表示，超300名零售和小企业用户的账户受到未经授权的访问，其账户内保存的信用卡、客户姓名和地址等可能被黑客获得。

在此之前，Optus的网络漏洞就已经使得数百万用户的个人信息遭到黑客的窃取，被盗数据更是不乏护照资料、驾照号码、医疗保险号码和居住地址等敏感信息。

至此，全澳受到影响的用户数量已达上千万！

然而，这些接二连三的由网络攻击所导致的信息泄露事件，仅是每年在澳大利亚企业中发生的数千次网络攻击中最引人注目的例子。

根据澳大利亚网络安全中心报告，2021年网络犯罪同比增长13%，同一时期，每八分钟就有一次新的数据泄露报告，在过去的一年里一共发生了67,500多次，造成超过330亿澳元的损失，数字非常惊人。

这不禁让人要问，自己的数据还有安全可言吗？也不由得让市场的目光又重新聚焦到网络安全行业上来。

为何网络安全事件频发？澳洲企业在网络安全方面的痛点是什么？未来的发展方向又在哪？本文将依次做出解答。

现状：

网络攻击花样“层出不穷”

网络安全这个概念听起来很广，因为涉及到信息技术（IT）的地方都需要网络安全。但是在澳大利亚，我们可以模糊地理解为一些自主IT能力不强，又依赖于数字经济的企业所需要的保障IT系统正常运行的服务。该行业细分市场产品众多，大方向上约有20个大类，细分下去又有近100个小类。

一方面，自大流行以来，网络安全事件发生的频率就开始加快。

根据身份盗窃资源中心的数据，全球2021年数据泄露事件创下了新纪录，同比增长了68%，网络犯罪正以两位百分比速度上升。

网络安全公司Sophos的勒索软件状况报告显示，2021年80%的澳大利亚企业受到勒索软件的攻击，远高于2020年的45%。其中金融服务企业是最严重的攻击目标，2022年上半年对金融服务企业的网络攻击同比几乎翻了两倍。

这主要是由于疫情以来，随着更多的员工使用自己的计算机和wifi网络在家里进行工作，远程共享更多数据，安全盲点的数量激增，给了入侵者“乘虚而入”的机会。

根据澳大利亚信息安全协会调查显示，82%的受访企业表示由于在公共互联网上进行远程工作而加剧了安全问题。

同时企业认识到，当员工在防火墙外通过公共互联网连接时，保护数据安全的工作变得更具挑战性，因为企业很难监控他们访问和下载的内容。

另一方面，网络攻击方式也在不断升级。

目前，澳大利亚企业面临的三大最常见风险是：自动威胁、远程代码执行 (RCE)，或远程文件包含(RFI)。在 2021 年 7 月至 2022 年 6 月期间，与这些风险相关的攻击频率不断增加，其中自动威胁的频率增加了一倍。

此外，由于入侵者很容易将恶意机器人瞄准他们想要窃取的信息，因此机器人被广泛用于所有行业的攻击。其中，金融服务企业成为最严重的攻击目标，机器人攻击在2022上半年翻了将近7倍。

网络安全公司Imperva 的首席技术官表示，网络犯罪分子的主要目的是以攻击澳大利亚企业以获得澳洲人的个人数据为目标，通过出售、勒索赎金或进行金融诈骗以谋取经济利益。

企业痛点：

缺乏预算，安全检测呈滞后性

根据Sophos的勒索软件报告显示，澳大利亚有37%的公司在过去一年时间都没有改变其信息或网络安全方法，而有53%的公司会在接下来的6个月中，因遭受攻击而改变安全措施，这表明企业对网络安全持消极态度，并且在网络安全战略中具有严重滞后性。

虽然强制性网络安全报告是世界大部分地区的一项基本法规，澳大利亚也在2018年起强制要求年营业额超过300万澳元的公司和特定企业（例如医疗服务提供商、金融等对信息敏感行业）报告网络泄露事件。

但根据澳大利亚统计局报告，2021年间有93%的企业营业额低于200万澳元，仅有小部分公司达到了300万澳元的年营业额门槛，因此该项法规没有将网络安全合规的强制性覆盖到中小企业。

然而中小型企业的网络安全保护通常较少，因此更容易受到攻击。思科 2021 年的一项研究发现，65% 的澳大利亚中小型企业在过去 12 个月内成为网络事件的受害者，三分之二的企业表示该事件使他们的企业损失了 64.5 万澳元或更多。

但网络安全问题经常被中小企业忽视，一方面是由于公司规模较小，不容易成为攻击者的目标，另一方面是因为网络安全并不能直接给公司带来收益，而是直接增加企业的运营成本，因此中小企业缺乏对网络安全的预算，仅是在出现安全事件后再更新安全系统。

市场前景：

安全隐患上升，带动需求增加

根据数据网站Statista报告显示，2022年全球的网络安全市场规模达1598.4亿美元，并且预计将以复合年增长率13.4%的速度不断扩张。

从内在需求的角度出发，在过去市场发展的主要驱动因素，是由于电子商务平台数量的不断增加，和远程办公数量的推动市场增长，为保护公司商业数据，越来越多的公司采购网络安全服务。

但在大流行期间，政府部门和医疗行业也发掘出远程办公的安全性和便捷性，使得其对网络安全解决方案的需求呈指数级增长。印度、德国和以色列等国家的政府正在投资互联网安全解决方案，以保护其机密信息。

根据欧洲网络安全组织的报告，英国政府在2020年出资23亿美元，以执行国防和研究领域的互联网安全项目。

澳大利亚也被英国媒体爆料将出台世界上最严格的网络安全法之一。澳洲政府也提升了对网络安全的重视程度，包括宣布99亿澳元的预算计划，招募1900名数据科学家和软件工程师，以保护国家基础设施资产免受网络攻击。

根据澳大利亚信息安全协会调查显示，现在有四分之三的政府组织都在实施联邦政府的基本八项安全控制措施，而政府的重视也在企业安全问题中产生了积极影响。其中，有64%的私营企业正在寻求网络安全最佳实践，61%的企业表示他们会增加对网络安全的支出，为未来潜在的风险事件做准备。同时在2022年，澳大利亚企业有12%的技术预算用于网络安全，比前一年的6%有所增加。

至此，网络安全的市场规模也由原来单一的内在需求驱动，转向为内在需求+政策合规需求双轮驱动。

未来方向：

云服务或将成为最大受益者

网络安全事件带动了对网络安全服务和软件的需求，也给该行业带来的巨大市场机遇。从表面上看，网络安全事件推动了对有效网络防御的需求，为网络安全软件和咨询公司带来更多的投资。

根据SecurityWeek的分析显示，2022年上半年的并购超过230起。2021年全球网络安全领域的并购增长至727.9亿美元，远高于2020年的190.9亿美元， 包括Google在内大型企业已经瞄准了这个“炙手可热”的领域：

• 2021年9月12日，Google完成对网络安全领域领导者Mandiant, Inc的54亿美元收购

• 2021年8月18日，微软花费超5亿美元收购网络安全公司RiskIQ

• 2022年2月，以色列网络安全初创公司Cynomi获得350万美元的融资

不过从长远来看，要想解决公司在网络安全检测的滞后性和减少安全成本的投入，企业云服务将是未来长期趋势。其中，数字化解决方案公司UST的首席信息安全官表示，更多的公司应该接受迁移到基于云的服务，因为他们通常拥有强大的基线安全系统。

根据Gartner的研究，到2025年，95%的数据工作负载将托管在云中，高于2021年的30%。他们预测，到2025年，超九成的企业将使用云计算。而云端之所以能够快速的在市场铺开，主要因为它有五大技术优势：

• 安全：云提供商在安全措施上投入巨资，以保护他们的数据中心和客户的数据。不仅拥有防火墙、加密以及入侵检测和预防系统，还拥有专业的团队，可以实时监控系统安全性并应对任何威胁；

• 节约成本：云计算可以减少企业维护和支持设备运行成本的15%-40%，减少了企业的硬件支出；

• 灵活性和可拓展性：云可以轻松地拓展或缩减以满足不断变化的业务需求；

• 灾难恢复：对于本地系统，如果发生灾难，企业可能需要等待数天或数周才能让系统重新运行。然而，借助云计算，企业可以简单地启用新虚拟机并立即恢复工作；

• 可持续性：通过云计算，企业可以避免在闲置产能上浪费能源，减少企业的排放；

因此，在当前阶段，云技术的发展成为企业提高安全性、减少运营成本的不二之选。市场对于企业云服务的需求，为云服务商带来了高增长。

从云服务三巨头——亚马逊、微软、谷歌2022年第二季度的财报中表现可以看出，在其他业务增长严重放缓的情况下，云服务营收依然亮眼，增速远高于其他业务。这充分的说明了云技术有足够多的优点，能够得到企业的认同，选择将数据和计算移上云端。

写在最后： 

“上云”，一站式解决网络安全

最近层出不穷的重大网络安全风险事件，也让市场目标重新聚焦到这个行业。

表面上看，自疫情以来的远程工作成为了攻击者“乘虚而入”的诱因。但从根本上看，企业对网络安全的不重视，中小企业认为自身不是攻击目标的侥幸心理，而没有足够对网络安全的预算和即时的安全措施是真正痛点。

从行业发展角度出发，风险事件频发对网络安全的需求推动起到了积极的作用，自2021年开始市场并购活动显著增加。一定程度上，对网络安全的需求会带动行业内相关安全软件及网络安全咨询公司的投资增长。

不过，要想从根本上解决网络安全风险，将企业数据迁移上云，利用顶尖云服务商的平台处理数据将是更安全、性价比更高的选择——尤其是对中小型公司来说更是如此。从这个逻辑而言，未来对云服务相关的投资机会更值得期待。