企業高管必須做出關鍵決策，以引領企業走向成功。然而，最近的一項研究表明，企業在防范針對高管個人生活的攻擊方面準備不足。

企業高管在指導業務運營和決策方面發揮著舉足輕重的作用。他們的職位使他們能夠接觸到敏感信息，因此成為尋求寶貴數據和財務收益的網絡犯罪分子的首要目標。針對企業高管的攻擊日益普遍且手段高超。這些定向網絡攻擊不僅損害個人，還對企業造成傷害。

網絡犯罪分子和黑客如何利用企業高管糟糕的網絡安全習慣？

1.數據泄露和知識產權盜竊

企業高管通常能夠接觸到敏感信息，包括財務記錄、戰略計劃和知識產權。針對這些高管的網絡攻擊可能導致數據泄露，使關鍵數據暴露或被竊取。

網絡犯罪分子可能會瞄準高管，以竊取企業的知識產權、商業秘密和專有技術。當一家公司的知識產權落入競爭對手手中時，可能會削弱其在市場中的地位。這還可能引發國家安全問題。例如，2022年，一名前谷歌員工竊取了500多份包含谷歌人工智能技術信息的文件。

根據Blackcloak公司進行的研究，87%的高管密碼目前可在暗網上找到。由于密碼重復使用很常見（根據多項研究，60%~70%的人會這樣做），這些密碼中的某一個很可能提供訪問公司信息的途徑。

2.針對企業高管的網絡攻擊的后果

針對企業高管的攻擊有時涉及金融欺詐計劃。例如，釣魚郵件攻擊可能會誘騙高管發起未經授權的資金轉賬，從而給組織造成巨大的經濟損失。根據IBM《2024年數據泄露成本報告》，美國平均數據泄露成本約為936萬美元，而全球平均數據泄露總成本為488萬美元。

此外，勒索軟件攻擊已成為針對知名人士的一種常見手段。網絡犯罪分子會加密關鍵數據，并要求支付高額贖金以釋放數據。支付贖金的成本，加上事件期間的業務中斷，會對目標組織造成巨大的財務損失。

Verizon公司發布的《2024年數據泄露調查報告》指出，勒索軟件幾乎成為所有行業（92%）的頂級威脅，約三分之一的所有泄露事件都涉及勒索軟件或勒索。

3.內部威脅和企業間諜活動

在某些情況下，針對高管的網絡攻擊可能涉及內部威脅，即心懷不滿的員工或內部人員與外部人員勾結。這會導致員工信任度下降，并在工作場所營造一種恐懼和不確定的氛圍。

根據CybersecurityInsiders和Gurucul發布的《2024年內部威脅報告》，超過三分之二（71%）的組織認為自己容易受到內部威脅。超過一半的受訪者經歷過六次或更多次內部攻擊。此類攻擊的成本估計差異很大——雖然三分之一的受訪者表示成本在10萬至49.9萬美元之間，但近一半的受訪者表示成本在50萬至200萬美元之間。

4.定向網絡攻擊的嚴重后果

（1）聲譽損害和客戶信任流失

當企業高管成為網絡攻擊的受害者時，他們可能會失去客戶、投資者和合作伙伴的信任和信譽。對企業的負面公眾認知可能導致潛在客戶流失，進而導致客戶留存率下降。

ChatGPT對數據泄露并不陌生。2023年，在九個小時的時間段內，1.2%的活躍ChatGPT Plus訂閱用戶的敏感個人和支付相關信息遭到泄露。2024年2月，該平臺用戶擔心其正在泄露對話，從而泄露敏感數據。這導致許多公司禁止內部使用ChatGPT。

作為企業的公眾形象，高管在維護企業聲譽方面肩負著重大責任。任何與網絡事件有關聯的情況都可能損害他們個人的聲譽以及他們所代表的組織聲譽。例如，一名首席財務官在收到公司總部發來的一封電子郵件后，向一個未知銀行賬戶轉賬4000萬歐元。該事件曝光后，LeoniAG公司的股價暴跌7%，并且幾乎用了兩年的時間才恢復。最終，這名首席財務官被解雇。

（3）業務中斷與運營停滯

針對高管的網絡攻擊會擾亂企業運營，并導致長時間的停擺。例如，如果高管的賬戶被攻破，可能會引發對關鍵系統的非法訪問，從而阻礙日常活動的進行。

運營停滯會導致錯過截止日期、生產力下降以及收入損失。此外，企業可能需要將資源轉向事件響應和恢復工作，進一步削弱其運營能力。

2024年7月，CrowdStrike的FalconSensor的一次錯誤更新導致了全球范圍內的MicrosoftWindows設備故障。數百萬臺Microsoft設備因此停止工作，致使全球各地的航空公司、火車站、醫院、媒體機構和財富500強企業陷入癱瘓。據保險公司估計，此次事件給企業帶來的總體損失將達到數十億美元。CrowdStrike還在2024年的DEFCON大會上榮獲了“最史詩級失敗獎”。該公司總裁MichaelSenton說：“我們的目標是保護人們的安全，而這次我們搞砸了。”

5.法律與監管后果

定向網絡攻擊可能會給受影響的組織帶來嚴重的法律與監管后果。許多司法管轄區都有嚴格的數據保護法，要求企業保護敏感信息，并向監管機構和受影響個人報告數據泄露事件。不遵守這些規定可能會導致巨額罰款和處罰，從而加劇網絡事件對企業財務的影響。2021年，一名前員工下載了CashApp客戶的財務信息，該公司因未安裝本可阻止該事件發生的適當安全控制措施而被起訴。2024年，該公司選擇庭外和解，并需支付1,500萬美元的集體訴訟和解金，其中包括對受害人實際損失的賠償。

結語

針對企業高管的網絡攻擊所帶來的影響遠遠超出了個人受害者本身。隨著網絡威脅的不斷演變，企業必須高度重視網絡安全，并實施強大的防御措施。

對企業高管和員工進行網絡安全最佳實踐培訓、定期更新安全協議以及進行全面風險評估，對于防范網絡攻擊至關重要。

通過投資全面的網絡安全戰略，并培養安全意識文化，企業可以減輕網絡事件帶來的潛在影響，保護其高管、員工、客戶和其他重要資產。