根據專家說法，科技新創公司犯下的網路安全錯誤

如果您的 科技新創公司 應該從 2025 年學到一件事，那就是沒有任何企業會因為規模太小而不會成為網路犯罪分子的目標。事實上，由於資源有限且擁有寶貴的客戶資料，中小企業現在比舊版企業更有 吸引力成為勒索軟體的目標。

通常，新創公司在創業初期缺乏做出正確決策所需的知識或資源。我們聯繫了一位經常與科技新創公司合作的 IT 安全專家，以獲取關於企業在剛起步時需要了解的見解。

Gary Power 是 Power Consulting(新視窗) 的營運長兼客戶服務總監，他在外包 IT 產業擁有 25 年的專業知識。Power Consulting 與各行各業各種大小的企業密切合作，提供包括受管理 IT 服務、IT 策略規劃以及網路安全審計和服務。

我們與 Gary 交談，以了解科技新創公司在創業初期犯錯的地方。

您的企業不會因為規模太小而不需要網路安全措施

使用我們的 資料外洩觀測站，Proton 追蹤了暗網上外洩的企業資料，以了解駭客鎖定誰以及企業如何遭資料外洩。我們發現了 794 起資料外洩事件，總計超過 3 億筆外洩記錄，很明顯，較小的組織正面臨越來越大的風險。

您的企業可以從檢視其他企業如何以及為何受到資料外洩影響中受益。從資料外洩觀測站獲得的見解，以及我們對科技新創公司的網路安全建議，都可以在我們最新的電子書《2025 年的崩潰性資料外洩》中找到。

下載電子書

無論是憑證管理不足，還是未能利用端對端加密等保護措施，中小企業似乎在安全實務中犯了關鍵錯誤。如果小型企業仍然容易受到網路威脅，這最終將透過限制業務成長來損害世界各地的產業和創新。

Gary 指出，充分保護您的企業的一個關鍵部分是轉變您對所採用安全措施的心態。

「早期，創辦人通常會問一些被動的問題，像是『我們需要這個嗎？』或『這對我們的大小來說是不是殺雞用牛刀？』隨著他們成熟，問題轉變為『什麼實際上會阻止我們遭資料外洩？』以及『我們要如何在不拖慢業務的情況下安全地擴展？』」

不要隨著企業建立而略過步驟，而是從一開始就投資於您的網路安全。畢竟，正如 Gary 所說：「最成功的創辦人意識到安全是推動者，而不是阻礙者。」

舊版工具並非自動安全

當需要挑選工具時，例如您的企業將使用的 電子郵件、磁碟 和 密碼管理程式 解決方案，您的選擇會造成很大的差異。Gary 警告不要假設流行和現代的解決方案會自動成為最安全的選擇。

「最大的盲點是假設安全性是『隱含的』，因為他們使用的是現代工具或雲端平台。創辦人通常認為 Microsoft 365、Google Workspace 或 AWS 自動等於安全。實際上，大多數資料外洩源於設定錯誤、薄弱的身分控制、糟糕的存取衛生和缺乏監控——而不是奇特的駭客技術。」

這聽起來可能不樂觀，但確實如此：預測和預防複雜的駭客技術，比在您的網路中建立強大的身分管理和監控實務要困難得多。Gary 強調的問題可以使用以下方法解決：

• 徹底的 網頁應用程式安全實務，讓您能夠識別並減輕對您環境的潛在威脅。
• 身分管理措施，例如 SSO 和 雙重身分驗證 (雙重驗證)，可保護您的企業網路，同時讓團隊成員更容易、更安全地存取您的企業網路。
• 暗網監控 是一個有用的工具，如果您的任何企業資料出現在暗網上，它可以通知您，讓您能夠迅速採取行動並防止資料外洩。

人為錯誤是嚴重的威脅

如果工具使用不安全，那麼工具本身是否安全就不重要了。人為錯誤實際上是您企業最大的網路安全威脅之一。由於現代企業網路的複雜性，攻擊面呈指數級增長，要求團隊成員建立數十個具有獨特密碼的帳號，並可能從他們的個人裝置存取這些帳號。

「另一個主要的疏忽是低估人為風險：網路釣魚、憑證重複使用和未受管理的裝置通常是前門。」

這些風險可歸因於缺乏網路安全意識，以及對於如何或是否可以透過團隊成員的個人裝置存取您的企業網路缺乏明確的預期。值得慶幸的是，它們可以透過政策和教育的雙管齊下方法輕鬆解決：

• 關於如何識別 網路釣魚詐騙 和 其他類型的惡意軟體(新視窗) 的全企業教育，將幫助每位團隊成員保護您的企業網路
• 遠距工作 政策和 自攜裝置 (BYOD) 政策（如果與您的企業相關）
• 安全企業密碼管理程式 將確保您的密碼政策被強制執行，並且敏感憑證被已儲存於中央位置，甚至在必要時可以安全地共享。

「早期決策會成為永久的預設值，」Gary 說。「身分模型、資料位置、管理員存取和裝置標準以後非常難以解開——尤其是一旦涉及客戶、投資者和監管機構。安全債務就像技術債務一樣會複利。儘早設定良好的護欄，比在資料外洩、審計失敗或網路保險拒賠後進行改造控制要便宜得多，干擾也少得多。」

安全基本面比工具更重要

工具並不是企業在進入市場時需要做出的唯一考量。您的 IT 基礎架構將決定團隊成員工作的安全性、您發現風險的能力，以及您減輕問題的速度。

Gary 解釋了 Power Consulting 的專家如何著手為新創公司設定 IT 和網路安全基礎架構。「我們在光鮮亮麗的工具之前專注於基本面。」

• 設定強大的身分和存取管理政策，包括 MFA 和「最小權限」，這意味著人們應該只能存取他們需要的系統。
• 從第一天起就保護您的端點，包括員工的個人裝置。裝置管理軟體可以幫助您追蹤誰正在登入您的網路以及在哪裡登入。
• 使用集中式日誌記錄和監控，以便未經授權的存取或帳號資料外洩等問題不會被忽視。
• 使用適當的備份和復原工具為事件做好準備，例如不可變備份（建立後無法更改）或異地保護，其中關鍵資料被傳送並已儲存於遠離您主要業務地點的地方。

透過在堅實的基礎上建立您的企業，最終您是在為您的未來投資一個更安全的企業。您花在建立安全基礎架構上的時間，從長遠來看，將值得您節省的金錢和避免的風險。

花時間正確設定

Gary 建議專注於您的身分架構，因為這是具有最高安全影響的領域。每位團隊成員都有一個數位身分，允許他們存取您企業網路中所需的資料和工具，妥善設定這一點對後續發展至關重要。

「糟糕的身分架構最難復原——共享帳號、薄弱的 MFA 採用和太多的管理員會造成長期風險，」Gary 解釋道。「非結構化資料蔓延是另一個主要問題；一旦敏感資料散落在個人磁碟、電子郵件收件匣和未受管理的 SaaS 應用程式中，重新獲得控制權是很痛苦的。最後，早期缺乏文件和所有權會隨著團隊成長導致混亂和盲點。」