世界銀行によると、中小企業（SMB）は各国の経済で大きな役割を果たしています。世界の全企業の90%が中小企業であり、雇用の50%以上を占めています。中小企業には、家族経営のレストランからスタートアップ企業、従業員数百人規模の企業までさまざまな企業が含まれます。
各国の経済に貢献していることだけでなく、サイバー脅威への備えができていない企業が多いことも中小企業に共通しています。サイバー攻撃のインシデントは、ダウンタイムや収益の損失につながるDDoS攻撃から、ランサムウェアを含むマルウェア攻撃までさまざまであり、これらの攻撃を受けると企業が廃業に追い込まれるケースもあります。

大企業は、中小企業よりも魅力的な標的ではありますが、中小企業にはこのようなサイバー攻撃から自社を保護するためのリソースが不足していることから、攻撃が成功しやすい手頃な標的となっています。

Ponemon Instituteの最近の報告書によると、中小企業が直面している最大の課題は、サイバー空間に関連するリスク、攻撃、脆弱性に対応できる人材の不足であり、2番目に大きな課題は十分な予算がないこと、そして3番目の課題は、サイバー攻撃から自社を保護する方法を理解していないこととなっています。

これらの課題を抱えている中小企業の従業員が、潜在的な脅威や攻撃を特定できないのは当然かもしれません。Ponemonは、企業が受けたランサムウェア攻撃で最も多く利用されている手法はフィッシングとソーシャルエンジニアリングで、2位はWebサイトの偽装、3位は不正な広告であると報告しています。

これは、適切なサイバーセキュリティトレーニングを実施していないと、長期的な観点から、企業にとって大きな損失となる恐れがあることを示しています。適切なトレーニングを従業員に提供することは、コストのかかる投資かもしれませんが、ランサムウェア攻撃によって被害を受けた場合、それ以上のコストがかかることになります。

Dattoのレポートによると、中小企業が直面しているマルウェアの脅威リストのトップはランサムウェアで、5社に1社がランサムウェア攻撃の被害を受けていることを報告しています。サイバー犯罪者が要求している身代金の平均額は約5,900米ドルですが、これは企業が負担する最終的なコストではありません。ダウンタイムの影響を考慮した場合のコストは2019年に要求された身代金の約23倍の141,000米ドルに達し、2018年から2019年にかけて200%以上増加しています。

また、攻撃の検出、調査、封じ込め、復旧、評判の低下などのその他のコストは、上記の金額には含まれていません。また、失われた情報の価値についてもこのコストに含める必要があります。

ダウンタイムをできる限り短くし、機密ファイルを取り戻すためにサイバー犯罪者に身代金を支払うことを選択する企業も存在しますが、ファイルを取り戻せる保証はありません。ランサムウェアを操るサイバー犯罪者は身代金を増額し続ける恐れもあり、仮に要求された身代金を支払ったとしても、すべてのデータを復旧できるとは限らないのです。

ESETのサイバーセキュリティスペシャリストのJake Mooreは次のように述べています。「サイバー犯罪者に資金を提供することは、さらに大規模な次のサイバー攻撃に資金を提供していることに他なりません。また、身代金を支払ったからといって必ずしも問題が解決するとは限らないことを改めて認識する必要があります」