디지털화의 진전으로 이제 기업의 데이터도 대부분이 사이버 상에 흘러 다니게 되었다. 따라서 모든 기업이 사이버 리스크에 노출되어 있다. 업종에 따라서는 방대한 고객 데이터를 취급하는 중소기업도 많기 때문에 중소기업의 사이버 보안 대책은 매우 중요하다. 중소기업에 대해서 노리는 데이터는 없다는 가정은 있을 수 없다. 본업에 바빠서 사이버 보안 대책에 할애할 시간이 없는 영세기업은 사이버 대책에 대한 자원은 한정되어 있다고도 할 수 있겠지만 자조하고 있을 수만은 없다. 일단 사이버 피해를 입으면 직접대응 비용에다 기업의 평판과 고객으로부터의 신뢰 상실에 그치지 않고, 장기적인 사업 리스크로 이어지기도 한다. 즉, 사이버 보안은 중소기업의 경우도 경영 리스크로서 예외가 아니고 각 기업의 고위 경영진 수준에서 대처해야 할 문제이다. 구체적으로는 절대 지켜야 할 자산과 그 이외 기타자산을 식별하는 것이 필요하다. 가장 중요한 자산에 대해서는 최대한 가능한 보안대책을 강구하고 그 이외에 대해서는 비용과 재원이 허락되는 범위의 대책을 검토하여야 한다. 우선순위에 따르고 프로그램에 의한 접근을 할 필요가 있다. 최소한의 사이버 보안 대책으로서는 최신판 OS 소프트웨어를 설치하고, 수시로 데이터의 백업을 하고 복원도 시험해 두어야 하며, 데이터의 암호화(encryption), 패스워드 관리 등 훈련을 실시해야 한다. 영국의 경우 사이버 보안대책으로 독특한 정책이 있다. 10대에 일찍 자연계 교과에 흥미를 가지고, 미래 대학에서 컴퓨터 사이언스 등을 전공하고 직업인으로 사이버 보안분야에 도전하는 것이 목적인 학생들을 특화 교육하는 것이다. IT전반 중에서도 특히 사이버 보안에 대해서 관심을 갖는 미래세대 중에서 장래의 경력으로 이 방향을 선택하도록 하는 것이 주된 목적이다. 전국 14개 대학을 사이버 보안분야의 탁월한 연구기관으로 지정하여 관리하기도 한다. 여기서 지정된 대학이 제공하는 코스를 정부가 인정하고 이들 대학은 각각 학부와 석사과정 커리큘럼을 제공하고 있다. 국가 범죄 대책청(National Crime Agency)이 실시하고 있는 범죄자의 갱생 프로그램도 있다. 고도의 지식과 기술을 가지면서 악의 길에 들어선 해커들을 성실한 직업인으로 이끌기 위한 워크숍을 실시한다. 중소기업을 중심으로 사이버 보안 기업의 수출지원 정책으로 연간 15억파운드를 투입하여 해외 무역 사절단을 파견하고, 신시장 개척, 매칭 등의 서비스를 제공한다. 전문분야(key sector)는 핀테크, 자동차, 산업통제 시스템 등이다. 사이버 보안 지표에 쓸 수 있는 신뢰할 수 있는 데이터는 존재하지 않는다. 민간기업으로 치면 매출증가 효과를 측정하기 어렵고, 사이버 보안대책의 진짜 효과 즉, 얼마나 안전하게 되었나? 피해가 감소했는지? 리스크를 미연에 피할 수 있었던 것을 재는 일은 어렵다. 그래도 영국에서는 사이버 보험시장이 급속히 확대하고 있다. 물론 피해비용 추산과 보험료 설정이 어렵고 본격적 보급은 초기 단계이다. 사이버 보안대책은 사람(People), 프로세스(Process), 기술(Technology)의 3개로 나누어 생각해야 한다. 포괄적인 사이버 보안법은 존재하지 않는다. IoT 법을 제정하고 기업에게 의무로 부과할지 아니면 업계의 자율규제에 맡길 것인지 정부 내에서도 논의가 이루어져야 한다. 영국은 기술혁신의 빠른 업종에 대응하는데 법률제정의 프로세스를 취하는 것은 너무 늦었고 또 업계마다 IoT의 진전상황 등 사정이 다른 획일적 규제는 비현실적이라는 이유로 정부는 전체 전략으로 범위만 제시해 두었다.

With the advancement of digitization, most of the company’s data now flows into cyberspace. Therefore, all companies are exposed to cyber risk. Since many SMEs deal with vast amounts of customer data, cyber security measures for SMEs are very important. There can be no assumption that there is no data theft for SMEs. Small businesses that are busy with their business and do not have time to devote themselves to cyber security measures may have limited resources on cyber countermeasures, but they can not help themselves. Once cyber-damages are incurred, it can lead to long-term business risks, not just the cost of direct response but also the reputation of the company and the loss of trust from customers. In other words, cyber security is not an exception as a management risk even for SMEs, and it is a problem to cope with at the level of senior management of each company. Specifically, it is necessary to identify the assets to be protected and other assets. For the most important assets, the maximum possible security measures should be taken, and other measures should be considered to the extent that the costs and resources are allowed. It is necessary to follow the priority and access by program. As a minimum cyber security measure, install the latest OS software, back up data from time to time, test recovery, and conduct data encryption and password management. In the UK, there is a unique policy for cyber security measures. It is to educate students who are interested in natural sciences early in their teens, majoring in computer science at future university and aiming to challenge cyber security as a profession. The main purpose of this course is to select future direction from future generations who have an interest in cyber security in general. 14 universities across the country are designated as excellent research institutes in cyber security. The government recognizes the courses offered by the designated universities, and these universities provide curriculums for undergraduate and master’s programs, respectively. There is also a criminal rehabilitation program run by the National Crime Agency. The agency hold a workshop to bring hackers who are on the evil path to sincere professionals with a high level of knowledge and skills. With the export support policy of cyber security companies centering on small and medium enterprises, UK government invest 1.5 billion pounds a year to dispatch foreign trade mission and provide services such as new market exploration and matching. The key sectors are Fintech, automotive, and industrial control systems. There is no reliable data available for cyber security indicators. It is difficult to measure the effect of sales increase when you are a private company, and how much is the real effect of cyber security measures, that is, how safe? Did the damage decrease? It is hard to judge what risks could have been avoided. However, in the UK, the cyber insurance market is rapidly expanding. Of course, it is difficult to estimate the cost of damages and set premiums, and full-scale dissemination is in its infancy. Cyber security measures should be divided into three parts: people, process, and technology. There is no comprehensive cyber security law. It should be discussed within the government whether the IoT law should be enacted and whether it should be imposed on companies or obliged to self-regulate the industry. It is too late for the UK to deal with the fast-paced sector of technological innovation, and it has been too late to take the legislative process.