Jak chronić małą firmę przed cyberatakami?
Opublikowany: 2021-10-26Ochrona Twojej małej firmy
Październik został ogłoszony przez Departament Bezpieczeństwa Wewnętrznego Narodowym Miesiącem Wiedzy o Cyberbezpieczeństwie. I chociaż może Ci się wydawać, że Twoja firma jest zbyt mała, by martwić się cyberbezpieczeństwem, to się mylisz.
Niedawno rozmawiałem ze Stephanie Benoit-Kurtz, Lead Cybersecurity Faculty na University of Phoenix i Principal Security Consultant w Trace3, o tym, jak właściciele małych firm mogą najlepiej chronić swoje firmy przed cyberatakami.
Wielu właścicieli małych firm i start-upów uważa, że ich firmy są zbyt małe, aby cyberprzestępcy mogli zawracać sobie głowę hakowaniem. Wiem, że to źle. Jakie niebezpieczeństwo stoją przed małymi firmami?
Stephanie Benoit-Kurtz: Małe firmy są celem z kilku powodów. Źli aktorzy zdają sobie sprawę, że mogą nie mieć dużych zespołów IT lub systemów do reagowania lub zapobiegania incydentom. Według FBI, cyberprzestępczość kosztowała firmy ponad 2,7 miliarda dolarów w 2020 roku. Z ponad 791 000 skarg, źli aktorzy idą tam, gdzie mogą zarabiać na wysiłku.
Na jakie zagrożenia cybernetyczne powinny zwracać uwagę małe firmy?
Benoit-Kurtz: Ponieważ atakowane są duże i małe organizacje, ataki SMB stają się coraz częstsze, teraz wypełniając lukę między większymi organizacjami. Według firmy Verizon, w raporcie DBIR z roku na rok wzrasta częstotliwość naruszeń mniejszych organizacji. Włamania do systemu są nadal jednym z głównych sprawców incydentów. To wtedy źli aktorzy uzyskują dostęp do danych i systemów.
Jakie są najczęstsze cyberzagrożenia dla małych firm? Czy różnią się one, jeśli prowadzisz wirtualną/zdalną firmę?
Benoit-Kurtz: Oszustwa e-mailowe i socjotechniczne nadal sieją spustoszenie we wszystkich firmach. Firma PWC przeprowadziła symulację phishingu w kilku instytucjach finansowych, a 70% wiadomości e-mail zostało dostarczonych z 7% współczynnikiem kliknięć użytkowników końcowych. Wystarczy jedno kliknięcie, aby narazić Twoją organizację na działanie złego aktora. Ogromna liczba ładunków nadal jest przesyłana pocztą e-mail. CISA zawiera kilka świetnych wskazówek, jak nie stać się ofiarą phishingu i socjotechniki.
Te problemy nie różnią się znacząco między firmami wirtualnymi lub zdalnymi a firmami na miejscu. Organizacje muszą zapewniać regularne szkolenia w zakresie phishingu i socjotechniki, aby ograniczyć liczbę incydentów. Kilku ekspertów twierdzi, że około 70% ryzyka może zostać zredukowane przez organizacje, które szkolą pracowników w identyfikowaniu sytuacji phishingowych i socjotechnicznych. Ten problem tylko gwałtownie wzrósł podczas pandemii COVID-19. W raporcie dotyczącym phishingu i oszustw z 2020 r. F5 donosi, że ataki phishingowe wzrosły podczas pandemii o 220%.
Najlepsza obrona to dobra ofensywa, a małe firmy powinny inwestować w szkolenia pracowników w zakresie phishingu i socjotechniki. Usługi są stosunkowo niedrogie i mogą zapewnić dodatkową warstwę ochrony dla małej firmy.
Czy jest jakaś polityka haseł, którą polecasz?
Benoit-Kurtz: Innym głównym zagrożeniem jest kradzież danych uwierzytelniających. Loginy i hasła są ujawniane przez niezabezpieczone połączenie lub dlatego, że były używane w poprzedniej organizacji, która została naruszona. Załóżmy, że wszystkie Twoje media społecznościowe, osobista poczta e-mail oraz inne loginy i hasła zostały gdzieś ujawnione w wyniku naruszenia. W przypadku kont służbowych nie używaj ponownie loginów ani haseł.
Często, gdy organizacja zostaje naruszona, loginy i hasła trafiają do sprzedaży w Darkweb, gdzie hakerzy kupują listy, a następnie szukają ofiar w podejściu typu spearphishing. Drugim zaleceniem jest nieco bardziej złożone hasło. Na przykład nie używaj imienia dziecka lub zwierzaka, ale hasło zawierające znaki specjalne i cyfry. Czasami pracownicy cierpią na zmęczenie hasłem. Magazyn haseł może być lepszym rozwiązaniem. Tworzy to unikalne hasła i daje pracownikom narzędzie, które pomaga im zarządzać swoimi kontami. Magazyn PC opublikował świetny artykuł na temat „Najlepszych menedżerów haseł na rok 2021”, w którym omawiają zalety różnych rozwiązań.
Benoit-Kurtz: Jak zapewnić bezpieczeństwo danych, jeśli pracownicy pracują w kawiarniach, na lotniskach, w pokojach hotelowych itp.?
Bezpłatne sieci w kawiarniach, hotelach, restauracjach i na lotniskach są niepewne. Te wygodne i łatwe do podłączenia usługi są niezarządzane i atakują hakerów, którzy żerują na niczego niepodejrzewających użytkownikach. Nawet jeśli musisz wprowadzić numer pokoju hotelowego lub jakiś rodzaj hasła, prawdopodobnie jest to niezabezpieczona sieć, w której Twoje dane osobowe i firmowe mogą być zagrożone. Zastanów się nad zapewnieniem pracownikom planów danych na ich telefony komórkowe lub hotspoty, które umożliwiają bezpieczny dostęp do sieci. W tym miejscu łączysz komputer z bezpiecznym połączeniem sieciowym z telefonem komórkowym lub innym urządzeniem LTE. Ten rodzaj łączności działa również w przypadku zespołów, które muszą współpracować. ComputerWorld w artykule „Jak używać smartfona jako mobilnego punktu dostępu” szczegółowo opisuje, w jaki sposób ta prosta praktyka może poprawić stan bezpieczeństwa małych firm.
Co to jest VPN i jak może ją skonfigurować mała firma?
Benoit-Kurtz: Jeśli musisz korzystać z publicznego dostępu do Internetu podczas telepracy lub pracy zdalnej, wirtualna sieć prywatna (VPN) jest doskonałym rozwiązaniem do tworzenia dodatkowej warstwy bezpieczeństwa. Pomyśl o VPN jak o opakowaniu cukierka. Opakowanie utrzymuje cukierki w środku i inne zanieczyszczenia. Oprogramowanie VPN zapewnia ochronę przed szyfrowaniem wokół połączenia z Internetem, co znacznie utrudnia hakerom przechwycenie komunikacji. Ponadto oprogramowanie/usługa są stosunkowo niedrogie, a małe firmy nie muszą budować własnej sieci VPN. Zamiast tego mogą pozyskać na rynku produkt, który zapewnia bezpieczeństwo bez ogromnych kosztów.
Jak skłonić pracowników do przestrzegania tych wytycznych?
Benoit-Kurtz: Część solidnego programu bezpieczeństwa obejmuje szkolenie uświadamiające, narzędzia i wskaźniki dotyczące użytkowania. Małe firmy muszą zachować czujność. Zarządzanie konfiguracją można wdrożyć, aby wymusić na komputerach pracowników ochronę punktów końcowych. Klienty VPN muszą być używane, gdy jesteś zdalny i nie zezwalasz na połączenia z losowymi sieciami. Możesz też sprawić, że będzie to zabawne, na przykład nagradzanie pracowników kartami podarunkowymi i gadżetami firmy za zachowanie zgodności. Rozpoznaj użytkowników, którzy się starają.
Jaki jest koszt naruszenia?
Benoit-Kurtz: Mówiąc najprościej, naruszenia są drogie. Jako mała firma Twoja reputacja i zaufanie klientów mogą być zagrożone. Trendy dla małych firm szacują, że średni koszt naruszenia bezpieczeństwa w małej firmie wynosi 25 000 USD. A IBM w swoim corocznym raporcie Cost of a Data Breach Report stwierdza , że w ciągu ostatnich dwóch lat koszty te wzrosły o ponad 10%. Koszt ten nie obejmuje jednak utraty zaufania klientów i związanej z tym utraty biznesu, gdy klienci odchodzą do konkurencji.
Czy bezpieczeństwo cybernetyczne Twojej małej firmy jest drogie?
Benoit-Kurtz: Nie, silna ochrona cybernetyczna nie musi być droga. Pomyśl o tym jak o kocach na łóżku. Cyberbezpieczeństwo zapewnia warstwy różnych technologii i procesów, które chronią użytkowników. Szkolenia, oprogramowanie VPN, ochrona punktów końcowych i hotspoty znacznie zmniejszają ryzyko i można je wdrożyć bez dużego personelu IT. Jako mała firma poszukaj partnera ds. bezpieczeństwa, który pomoże Ci w zakresie rozwiązań i skali, które będą działać w ramach Twojego budżetu.
Istnieje wiele wspaniałych zasobów, które pomagają małym firmom w ich bezpiecznej podróży. SBA publikuje wiele świetnych materiałów i istnieją organizacje zajmujące się bezpieczeństwem, które specjalizują się w pomaganiu firmom na ich drodze do bezpieczeństwa. Świetnym sposobem na rozpoczęcie jest zaproszenie partnera ds. bezpieczeństwa w celu przeprowadzenia oceny ryzyka bezpieczeństwa i pomocy w rozpoczęciu pracy. Świetny partner w zakresie bezpieczeństwa nie tylko pomoże Ci znaleźć słabe punkty, ale także rozwinie Twój program bezpieczeństwa w miarę zmiany krajobrazu zagrożeń. Jeśli nie masz partnera ds. bezpieczeństwa, odrób pracę domową i przeprowadź wywiady z kilkoma organizacjami, aby znaleźć odpowiednie dopasowanie.
Oczywiście Twój mentor SCORE może pomóc Ci dokonać właściwego wyboru. Znajdź dzisiaj.