Как защитить свой малый бизнес от вредоносных кибератак

Защита вашего малого бизнеса

Октябрь объявлен Министерством внутренней безопасности Месяцем национальной кибербезопасности. И хотя вы можете думать, что ваш бизнес слишком мал, чтобы беспокоиться о кибербезопасности, вы ошибаетесь.

Недавно я разговаривал со Стефани Бенуа-Курц, руководителем факультета кибербезопасности в Университете Феникса и главным консультантом по безопасности в Trace3, о том, как владельцы малого бизнеса могут наилучшим образом защитить свои компании от кибератак.

Многие владельцы малого бизнеса и стартапы считают, что их бизнес слишком мал, чтобы киберпреступники могли взломать его. Я знаю, что это неправильно. Какие опасности грозят малому бизнесу?

Стефани Бенуа-Курц: Малый бизнес является мишенью по нескольким причинам. Злоумышленники знают, что у них может не быть больших ИТ-команд или систем для реагирования или предотвращения инцидентов. По данным ФБР, в 2020 году киберпреступность обошлась предприятиям более чем в 2,7 миллиарда долларов. С более чем 791 000 жалоб злоумышленники идут туда, где они могут монетизировать свои усилия.

На какие риски кибербезопасности следует обратить внимание малому бизнесу?

Бенуа-Курц: По мере того, как крупные и малые организации подвергаются атакам, атаки SMB становятся все более частыми, что сокращает разрыв с более крупными организациями. По данным Verizon, согласно отчету DBIR , из года в год участились случаи утечек в организациях меньшего масштаба. Вторжение в систему по-прежнему является одной из основных причин инцидентов. Это когда злоумышленники получают доступ к данным и системам.

Каковы наиболее распространенные киберугрозы для малого бизнеса? Отличаются ли они, если вы управляете виртуальным/удаленным бизнесом?

Бенуа-Курц: Мошенничество с использованием электронной почты и социальной инженерии продолжает наносить ущерб всем предприятиям. PWC провела симуляцию фишинга в нескольких финансовых учреждениях, и 70% электронных писем были доставлены с коэффициентом кликов конечных пользователей 7%. Достаточно одного клика, чтобы разоблачить вашу организацию перед злоумышленником. Огромное количество полезной нагрузки по-прежнему поступает по электронной почте. У CISA есть несколько отличных советов о том, как не стать жертвой фишинга и социальной инженерии.

Эти проблемы существенно не отличаются между виртуальными или удаленными предприятиями и предприятиями, работающими на месте. Организации должны проводить регулярные тренинги по фишингу и социальной инженерии, чтобы уменьшить количество инцидентов. Несколько экспертов считают, что организации, которые обучают сотрудников выявлять ситуации фишинга и социальной инженерии, могут снизить риск примерно на 70%. Эта проблема только экспоненциально увеличилась во время пандемии COVID-19. В отчете о фишинге и мошенничестве за 2020 год F5 сообщает, что количество фишинговых атак выросло на 220% во время пандемии.

Лучшая защита — это нападение, и малые предприятия должны вкладывать средства в обучение сотрудников фишингу и социальной инженерии. Эти услуги относительно недороги и могут обеспечить дополнительный уровень защиты для малого бизнеса.

Есть ли политика паролей, которую вы рекомендуете?

Бенуа-Курц: Другая главная угроза — кража учетных данных. Логины и пароли раскрываются из-за небезопасного соединения или из-за того, что они использовались в предыдущей организации, которая была взломана. Предположим, что все ваши социальные сети, личная электронная почта и другие логины и пароли были где-то раскрыты. Для рабочих учетных записей не используйте повторно логины и пароли.

Часто, когда организация подвергается взлому, логины и пароли выставляются на продажу в Darkweb, где хакеры покупают списки, а затем ищут жертв с помощью фишингового подхода. Вторая рекомендация — сделать пароль немного сложнее. Например, используйте не имя вашего ребенка или питомца, а парольную фразу, содержащую специальные символы и цифры. Иногда сотрудники страдают от усталости от паролей. Хранилище паролей может быть лучшим решением. Это создает уникальные пароли и дает сотрудникам инструмент, помогающий им управлять своими учетными записями. Журнал PC Magazine опубликовал отличную статью о «Лучших менеджерах паролей на 2021 год», в которой рассказывается о преимуществах различных решений.

Бенуа-Курц: Как вы обеспечиваете безопасность данных, если сотрудники работают в кафе, аэропортах, гостиничных номерах и т. д.?

Бесплатные сети в кафе, отелях, ресторанах и аэропортах небезопасны. Эти удобные и простые в подключении сервисы неуправляемы и атакуют хакеров, которые охотятся на ничего не подозревающих пользователей. Даже если вам нужно ввести номер своего гостиничного номера или какой-либо код доступа, скорее всего, это незащищенная сеть, где ваши личные и корпоративные данные могут быть подвержены риску. Рассмотрите возможность предоставления сотрудникам планов передачи данных на их мобильные телефоны или точки доступа, которые обеспечивают безопасный доступ к сети. Здесь вы привязываете свой компьютер к безопасному сетевому соединению с мобильным телефоном или другим устройством LTE. Этот тип подключения также работает для команд, которым необходимо сотрудничать. ComputerWorld в статье «Как использовать смартфон в качестве мобильной точки доступа» подробно описывает, как эта простая практика может улучшить состояние безопасности малого бизнеса.

Что такое VPN и как малый бизнес ее настроить?

Бенуа-Курц: Если вам необходимо использовать общедоступный доступ в Интернет во время удаленной работы или удаленной работы, виртуальная частная сеть (VPN) является отличным решением для создания дополнительного уровня безопасности. Воспринимайте VPN как обертку от конфеты. Обертка удерживает конфеты внутри и не пропускает другие загрязнения. Программное обеспечение VPN обеспечивает защиту шифрованием вашего подключения к Интернету, что значительно затрудняет перехват связи хакерами. Кроме того, программное обеспечение/услуга относительно недороги, и малому бизнесу не нужно создавать собственную VPN. Вместо этого они могут найти на рынке продукт, обеспечивающий безопасность без огромных затрат.

Как заставить сотрудников следовать этим рекомендациям?

Бенуа-Курц: Часть надежной программы безопасности включает обучение по повышению осведомленности, инструменты и показатели использования. Малый бизнес должен быть бдителен. Управление конфигурацией может быть реализовано, чтобы заставить компьютеры сотрудников иметь защиту конечных точек. Клиенты VPN должны использоваться, когда вы находитесь удаленно и не разрешаете подключения к случайным сетям. Вы также можете сделать это забавным, например наградить сотрудников подарочными картами и корпоративными подарками за соблюдение требований. Признайте пользователей, которые прилагают усилия.

Какова цена взлома?

Бенуа-Курц: Проще говоря, бреши обходятся дорого. Ваша репутация и доверие клиентов могут оказаться под угрозой. По оценкам Small Business Trends, средняя стоимость взлома малого бизнеса составляет 25 000 долларов. А IBM в своем ежегодном отчете о стоимости утечки данных сообщает , что за последние два года эти затраты выросли более чем на 10%. Однако эта стоимость не включает потерю доверия клиентов и связанную с этим потерю бизнеса, когда клиенты уходят к конкурентам.

Дорого ли сделать ваш малый бизнес кибербезопасным?

Бенуа-Курц: Нет, надежная защита от кибербезопасности не обязательно должна быть дорогой. Думайте об этом, как одеяла на кровати. Кибербезопасность предоставляет уровни различных технологий и процессов, которые защищают пользователей. Обучение, программное обеспечение VPN, защита конечных точек и точки доступа — все это значительно снижает риск и может быть реализовано без участия большого ИТ-персонала. Как малый бизнес, ищите партнера по безопасности, который поможет вам с решениями и масштабированием, которые работают в рамках вашего бюджета.

Существует множество отличных ресурсов, которые помогут малому бизнесу в обеспечении безопасности. SBA публикует множество замечательных материалов, и существуют организации по безопасности, которые специализируются на оказании помощи компаниям на пути к обеспечению безопасности. Отличный способ начать — пригласить партнера по безопасности, который проведет оценку рисков безопасности и поможет вам начать работу. Хороший партнер по безопасности не только поможет вам найти слабые места, но и расширит вашу программу безопасности по мере изменения ландшафта угроз. Если у вас нет партнера по безопасности, сделайте домашнее задание и побеседуйте с несколькими организациями, чтобы найти подходящего.

Конечно, ваш наставник SCORE может помочь вам сделать правильный выбор. Найдите сегодня.