10 Kibernetska varnost mora zdaj storiti vaše podjetje

Nacionalni teden malih podjetij je v teku in prazniki niso trajali dolgo, da bi obravnavali eno najbolj odmevnih in vedno prisotnih vprašanj za mala in srednja podjetja (SMBs): kibernetsko varnost. Administracija za mala podjetja (SBA) je vladna agencija ZDA, ki je namenjena zagotavljanju konkretne pomoči, usposabljanja in priporočil, ki jih mala podjetja lahko uveljavijo takoj v vsakodnevnem poslovanju. V ta namen je današnji panel SBS za kibernetsko varnost namesto, da bi le ponujal enakomerne trende, zagotovil konkretne nasvete, vire in ukrepe, ki jih lahko sprejmejo, da zmanjšajo varnostne ranljivosti in vzpostavijo celovito varnostno strategijo.

Namestnik upravitelja SBA Doug Kramer je moderiral svet varnostnih strokovnjakov, ko so razpravljali o največjih varnostnih tveganjih, s katerimi se srečujejo mala podjetja, in najpomembnejših korakih, ki jih lahko storijo za zaščito svoje infrastrukture in podatkov, ki temeljijo na oblaku ali fizični. Na senatu je bil Bill O'Connell, podpredsednik Global Trust Assurance pri ADP; Stephen Cobb, višji raziskovalec varnosti na ESET Severna Amerika; Matt Littleton, vzhodni regionalni direktor za infrastrukturo za kibernetsko varnost in storitve Azure pri Microsoftu; in Patricia (Pat) Toth, nadzorna računalničarka v oddelku za računalniško varnost Nacionalnega inštituta za standarde in tehnologijo (NIST).

Strokovnjaki so govorili o vprašanjih kibernetske varnosti, ki segajo od lažnega predstavljanja, odkupa programske opreme in kako odpraviti kršitev do tega, kako naj se mala podjetja približajo večfaktorski avtentikaciji (MFA), usposabljanju in politiki varnosti zaposlenih, kaj iskati v pogodbi o upravljanem ponudniku storitev (MSP), in kdaj poklicati svetovalca za varnost IT.

Po Kramerjevih besedah ​​ne gre samo za kreditne kartice za zaposlene in stranke ter bančne podatke, temveč podjetja za intelektualno lastnino vsebujejo povsod, od e-pošte do shranjevanja v oblaku in napadalnih površin, ki bi lahko majhnemu podjetju postale šibka povezava in lahka tarča dobavne verige. Kot je dejal Kramer, je skoraj polovica vseh malih podjetij do neke mere žrtev kibernetske kriminalitete, povprečni stroški napada pa so približno 21.000 dolarjev.

"Kdor začne majhno podjetje, se trudi, kolikor lahko, brez dodatnega časa ali denarja za reševanje izzivov kibernetske varnosti, ki lahko stanejo več kot pričakovano in pomenijo življenje ali smrt za majhno podjetje, " je na seji pripomnil Kramerjev SBA. začel. "Grožnja kibernetskega vdora in kraje je zelo resnična. Majhna podjetja na različne načine merijo premoženje in zaloge, vendar sedijo v zakladnici informacij."

1. Varnost v oblaku: Ne in ne

Zaradi stroškovno učinkovitih in praktičnih razlogov morajo vsi SMB razmisliti o prehodu v oblak, vendar se mora prehod zgoditi previdno. Strokovnjaki so razpravljali o nekaterih najpomembnejših premislekih in ovirah.

• Naredite: Postopno varnostno kopiranje v oblaku

  "Oblak ima veliko koristi in tveganj, toda ena stvar, ki bi jo morali storiti SMB, je varnostno kopiranje, " je dejal Cobb ESET. "Trenutno varnostno kopiranje vseh datotek je najboljša zaščita pred izsiljevalno programsko opremo in ključni del vaše drže in zaščite v kibernetski varnosti. Še vedno bi morali varnostno kopirati na trdi disk in shraniti kopijo nekje na varnem na ločenem mestu, oblak pa vam omogoča varnostno kopiranje nenehno. "

• Storite: Plačajte za varnost v oblaku Premium

  "Lastniki malih podjetij so cenovno ozaveščeni, vendar morajo drugi dejavniki pridobiti pravo težo, " je povedal O'Connell iz ADP. "Nekatere stvari bi morale stati več denarja za višjo raven storitev in varnost je ena izmed teh stvari. Ne odločite se samo na podlagi cene."

• Ne: samo podpišite pogodbo MSP

  "Preverite to pogodbo, " je dejal Cobb podjetja ESET. "Lahko oddajate shranjevanje ali varnostno kopiranje, vendar ne morete oddajati odgovornosti. Če lastnik SMB pravi, da ima ponudnik IT vse podatke o strankah in zaposlenih - vaše podatke - ste še vedno odgovorni."

  "Kadar ne gre le za pogodbo, ampak za podatke, opravite raziskavo, da preverite, ali obstajajo kakršne koli varnostne težave, " je dodal O'Connell iz ADP. "Za mala in srednje velika podjetja je pogodba dober del te obrambne obrambe. Oglejte si sporazume o dogovoru o licenci in dostop do podatkov o ravni podatkov. Kako dolgo MSP hranijo podatke? Kaj počnejo z njimi?"

• Ne: Ne pustite neuporabljenih funkcij infrastrukture MSP

  "Če stopite v oblačno okolje, lahko del te odgovornosti prestavite. Nismo več na prizorišču platforme, kjer bi morali biti zaskrbljeni, če ne boste imeli osebja, ki bi se odzvalo na težavo ali popravilo strežnika, " je dejal Microsoft Littleton. "V tem primeru lahko ponudnik storitev stopi v roke v vašem imenu. Razumeti morate, s čim se ukvarjate s pogodbenega stališča in katere storitve ponuja ponudnik oblakov."

2. Večfaktorska overitev: samo naredi

"Z osebnega in poslovnega vidika je MFA nekaj, kar lahko storite takoj. Podjetja nimajo izgovora, da tega ne storijo takoj, " je dejal Microsoftov Littleton. "S celotnim paketom izdelkov Microsoft je preprosto; enako velja za Google, Yahoo, poimenujete ponudnika e-pošte. Oglejte si svoje varnostne nastavitve in od vsakega zaposlenega zahtevajte, da kot drugi dejavnik vnese svojo številko mobilnega telefona. Potem pa tudi, če sem napadalec in ukradem vaše geslo, ne morem ga uporabiti, če ne ukradem vašega mobilnega telefona in ne poznam kode PIN."

3. Kdaj poklicati svetovalca za varnost IT

" To bodo stvari, ki jih kot lastnik majhnega podjetja ne morete narediti sami, " je povedal O'Connell iz ADP. "Za zelo pomembne pogodbe dobite zunanji pravni nasvet. Za letne in četrtletne finančne posle imate računovodjo. Enako velja za varnostno strokovno znanje. Ko morate preskusiti spletno mesto in se prepričati, da je spletno varno, ali opraviti oceno tveganja, denar je dobro porabljen, če nimate strokovnega znanja, da bi ga naredili sami. Električne ali vodovodne napeljave v stavbi ne opravljate sami; to je, če veste, kdaj potrebujete pomoč."

4. Varnost je del vsakogar

"V podjetju z 10 osebami se ne morete zanesti samo na eno osebo; vsi morajo dobro razumeti kibernetsko varnost in kakšna tveganja za organizacijo pomenijo, " je dejal Nth's Toth. "Če tega ne storijo, bi bila njihova služba lahko ogrožena, če pride do kršitve in podjetje ne more okrevati."

"Varnost naj bo del vsake osebe, " je dodal AD'-ov O'Connell. "Oseba, ki upravlja s financami - kaj morajo storiti vsak dan? Na fizični strani je kdo tisti, ki ponoči zaklepa vrata? Vsi morajo poznati sestavne dele in kako se njihova vloga prilega celotni varnosti podjetja."

5. Ne bodite šibka vez dobavne verige

Kot je pojasnil Krabajev SBA, med SMB in podjetji ni več delitve. Majhna podjetja bodisi želijo rasti in se razširijo ali pa se priključijo v podjetniško dobavno verigo programske opreme in storitev. Težava je v tem, da varnostne politike SMB morda niso v skladu s podjetjem dobavne verige, s katerim si želijo partnerja.

"Ko mala in srednja podjetja sklenejo prvo veliko pogodbo z velikim podjetjem in prosijo, da si ogledajo vaše varnostne politike in program za ozaveščanje, se ne bi smeli prepirati, da bi vse preverili s kontrolnega seznama, " je povedal Cobb ESET. "Tveganje oskrbovalne verige vzbuja veliko skrb. Če SMB digitalno komunicira z dobaviteljem, ga preverite. Potrebno je imeti varnostne politike in usposabljanje, da ne bo ovira."

"Noben posel ni premajhen, da bi se lahko usmeril v kibernetsko areno, zlasti pri upravljanju dobavne verige, " je dejal Microsoftov Littleton. "Številne kršitve se ne začnejo na vrhu; začnejo nekje v dobavni verigi, napadalci pa se potrudijo do končnega cilja."

Toth je povedal, da bodo vladne agencije začele objavljati pravila za dostop do sistemov dobavne verige v prihodnjih dveh letih. Medtem je dejala, da morajo podjetja za malo in srednje podjetje pripraviti načrt.

"Načrtovanje je neprecenljivo, če veste, kaj je resnično pomembno; tisto, kar morate zaščititi, in kako bi vaše podjetje poslovalo, če ne bi bilo dostopno, " je povedal Toth iz NIST-a. "Majhni in srednji podjetji morajo imeti načrte, politike in postopke. Ni veliko vladnega pristopa; lahko je tako preprosto kot politike v vašem priročniku za zaposlene, ki na internetu povedo, kaj lahko in česa ne morejo storiti, kako opaziti lažni napad in kdaj odpreti in ne odpirati povezav in prilog."

6. Z e-pošto ravnajte kot z razglednico, ne s kuverto

"Prva stvar, ki jo kot majhno podjetje naredijo z e-pošto, je razmisliti o tem, kaj je v njem. Če bom nekdo prebil informacije o podjetju, ima njihova e-pošta pogosto vse dobre stvari, " je dejal Cobb ESET. "Ljudje pogosto ne razmišljajo o tem, kaj puščajo tam. Poglej, da je Sony kramp; ljudje so po e-pošti govorili stvari, ki jih ne bi smeli. E-pošta je razglednica, ne zapečatena ovojnica. Upoštevajte to."

"Vse bolj postaja tudi sposobnost nadzora podatkov, " je dejal Microsoftov Littleton. "Morda bi bilo vredno porabiti denar za šifrirano e-poštno storitev z vhodnim filtriranjem, ki zmanjša napadalno površino. Če bi številko e-poštne kartice pustili v e-poštnem sporočilu, bi vas storitev vprašala, ali to res želite poslati, nato pa samodejno šifrirala ne samo številka, vendar celotno e-poštno sporočilo. Ko se industrija razvija, postajajo te storitve bolj razumne in običajne."

7. Vedno prijavite incidente

Kramerjev zavod SBA je pojasnil, da morajo, ko majhno podjetje kršijo ali zadeti lažno prevaro ali zahtevo za odkupno programsko opremo, vedeti, koga poklicati. ESET-ov Cobb je dejal, da se bo cikel nadaljeval, če mala podjetja tega ne bodo prijavila policiji zaradi strahu pred kazenskim pregonom in nimajo sredstev za preiskavo.

"Imamo nesrečen cikel, kjer organi pregona dobivajo sredstva na podlagi prijavljenih kaznivih dejanj, vendar ljudje ne prijavljajo kaznivih dejanj, ker ne mislijo, da ima policija sredstva, " je dejal Cobb ESET. Če nihče ne poroča, policija nikoli ne bo imela dokazov, da bi se opremila z viri za reševanje teh vprašanj kibernetske kriminalitete."

"Večina občin ima enote za kibernetsko kriminaliteto in se bodo odzvale, " je dodal Toth.

8. Pripravite načrt za odzivanje na nesreče

"Sredi nesreče ne poskušate prišiti varnostnega pasu, " je dejal Microsoftov Littleton. "Potrebujete načrt, kako se boste odzvali, preden se bo zgodila kršitev."

"Tudi v tem niste povsem sami, " je dejal Cobb ESET. "Varnostne storitve, ki jih kupite s police, imajo večjo zaščito v oblaku ali dostop do dobavne verige. Morda nudijo storitve odkrivanja in preprečevanja na osnovni ravni. Ko sestavite načrt, poskrbite, da ne boste zapustili varnostnih storitev na mizi, ki jo ponuja vaš MSP ali varnostna služba."

9. Ne puščajte ohlapnih koncev

"Eno od problematičnih področij, ki jih opažamo - če in ko zaposleni odidejo ali so odpuščeni - njihov dostop do sistema ne bo takoj prekinjen, " je dejal Cobb ESET. "Majhna podjetja delajo z ljudmi, ki jim zaupajo, in veliko ljudi, ki prihajajo in odhajajo. Včasih ne gredo v najsrečnejše okoliščine. Če nekdanji zaposleni s težavo še vedno ima dostop ali ima še vedno omogočeno večfaktorno overjanje, je to velik varnostni problem z notranjimi informacijami, ki ga je boleče enostavno rešiti."

10. Vladni viri in usposabljanje

Vlada sprejema velike ukrepe za reševanje kibernetske varnosti. Bela hiša je v začetku tega leta objavila okvir za kibernetsko varnost, predlog proračuna za leto 2017 predsednika Obame pa si prizadeva za 35-odstotno povečanje sredstev (na 19 milijard dolarjev) za spopadanje z napadi kibernetske varnosti. Kramer in NIST-ov Toth sta pokazala, da imata brezplačna vladna sredstva, kot je celotna stran virov za kibernetsko varnost za mala in srednja podjetja, vključno z nasveti in orodji za kibernetsko varnost, zbirko tečajev, usposabljanj in spletnih seminarjev.

Nekateri izmed najbolj uporabnih virov so:

• Najboljših 10 nasvetov za kibernetsko varnost SBA
• SBA spletni tečaj: kibernetska varnost za mala podjetja
• Orodje za oceno kibernetske odpornosti (CRR)
• Načrtovalnik spletnega načrtovanja malih podjetij
• SBA, NIST in FBI-jeve skupne delavnice za mala podjetja
• YouTube kanal SBA
• Center za računalniško varnost NIST
• Certifikati in izobraževalni programi podjetja COMPTIA za učenje varnostnih protokolov MSP