FAQ: Kako zaštititi malu tvrtku od cyber napada?

Činjenice: mala poduzeća podcjenjuju svoju ranjivost

Prošli je tjedan doveo do cyber napada koji je usmjerio na nekoliko američkih banaka. Iako hakeri često ciljaju velike tvrtke, male tvrtke postaju sve ranjivije.

Mala poduzeća obično podcjenjuju njihovu ranjivost na kibernete napade jer podcjenjuju njihovu vrijednost cyberthievima. Vjeruju da ne vrijedi truditi se hakirati, ali vlasnici malih tvrtki često ne shvaćaju kako je mali napor sjeckanja tvrtke s minimalnom sigurnošću iskusnom cyberthiefu.

Anketa Symantec Threat Awareness pokazala je da male tvrtke obično rade premalo da bi se zaštitile od napada:

• 50% malih poduzetnika smatraju da su premali da bi bili meta za cyber-napade
• 61% malih poduzeća ne instalira protuvirusni softver na sve stolna računala
• 47% ne koristi sigurnost na poslužiteljima e-pošte
• 67% ne koristi nikakvu web-sigurnost

Verizon Business vodio je opsežnu studiju o kršenjima cybersecuritya 2011. godine, s nekim iznenađujućim rezultatima o tendencijama hakera da ciljaju male tvrtke:

• 72% prijavljenih hakerskih prekršaja ciljano je poslovanje s 100 ili manje zaposlenika
• 79% žrtava cyber napada 2011 su bili ciljevi prilika

Iako se male tvrtke mogu smatrati dovoljno sitnim da bi se spustile pod radar kibertijaka, obično lazne sigurnosne mjere koje provode mali poduzetnici čine ih jednostavnim ciljem hakera. Većina žrtava nije bila poduzeća s znatnom imovinom ili poslovnim tajnama, identificiranima od strane lopova prije teško planiranog napada; Umjesto toga, većina žrtava jednostavno je imala slabu sigurnost kibernetičkih iskorištavanja kradljivaca.

Sjeckanje zaposlenika

81% prekršaja u 2011. koristilo je neki oblik hakiranja, a 69% je koristilo zlonamjerni softver.

Jedan od uobičajenih načina da cyberthieves uđe u infrastrukturu tvrtke jest sjeckanje zaposlenika, a ne upravljanje. Cyberthieves može slati e-poštu s podacima o krađi identiteta pojedinačnim zaposlenicima, a kada se ti e-poruke otvore na poslužitelju tvrtke, zlonamjerni softver može ukrasti informacije tvrtke.

Tvrtke bi trebale postaviti jasnu politiku tvrtke o tome koje informacije tvrtke mogu otkriti putem društvenih medija, zaposlenici web mjesta ne bi smjeli pristupiti na poslu, kako prepoznati e-poštu s podacima o krađi identiteta i kako sačuvati sigurnost mobilnih uređaja, osobito ako se mogu prijaviti u tvrtku poslužitelja putem svog osobnog uređaja.

Savjeti za naše web mjesto: kako biste zaštitili svoju tvrtku?

FCC ima praktičan alat za planiranje malih poduzeća u cybersecurity koji omogućuje vlasnicima malih tvrtki da izrade prilagođeni plan cyber-sigurnosti koji sadrži savjete od stručnjaka na dvanaest predmeta, uključujući mrežnu sigurnost, mobilne uređaje, sigurnost objekata i razvoj politike.

Investmentmatome preporučuje da tvrtke poduzmu četiri početna koraka kako bi zaštitile sebe:

1. Procijenite svoj sigurnosni status. Gdje su sve moguće povrede podataka i sigurnosne praznine?
2. Implementirajte vatrozid i protuvirusni softver
3. Držite trening za zaposlenike i prenijeli ih na politiku tvrtke o cybersecurityu
4. Napravite administrativne zaporke koje je teško pogoditi, idealno one koje se sastoje od kombinacije brojeva i slova

Implementiranjem sveobuhvatnog plana cyber-sigurnosti i edukacijom zaposlenika na ovom planu, tvrtke mogu zaštititi svoju imovinu.

Ostala stručna mišljenja

• Robert Siciliano, McAfee Online Security Expert, nudi pet savjeta za osiguravanje cybersecurity tvrtke

„1. Nisu savljeni svi podaci. Vježbajte osnovne do napredne pretpostavke / fizičke kao što su kontrola pristupa, sigurnosne kamere i alarmi.

2. Ograničite količinu potrebnih podataka od kupaca. Ako doista niste trebate broj socijalnog osiguranja, a zatim ih ne spremajte. Ako je kreditna kartica informacije ne moraju biti pohranjene, a ne spremajte ih.

3. Prepoznajte da se pitanja temeljena na znanju temelje na lozinki reseti mogu spustiti kuću. Mnogi odgovori mogu se naći u društvenom medijskih mjesta.

4. Prijenosna računala jedna su od najvećih točaka za otkrivanje podataka. Laptopni podaci bi trebali biti šifriran. Prijenosna računala nikad ne bi trebala ostati u automobilu preko noći ili ostaviti u hotelske sobe ili ureda sami ili na stoliću za kavu u kafiću bez nadzora. Softver za praćenje prijenosnih računala koji smješta i briseva podatke bitan je.

5. Vlak, vlak, vlak, vlak. Obuka o sigurnosti podataka i što učiniti, i što ne raditi je prioritet broj jedan. Klikom na veze u e-porukama, skidanje bilo čega s weba ili e-pošte, otvaranje privitaka u e-porukama, svi su nedavno uspješni načini zaraziti mrežu. "

• Nathan Corbier, osnivač tvrtke Corbier i suradnici, govori o uređajima zaposlenika

"Ne dopuštamo nikome da priključi neovlaštene uređaje na naše radne stanice ili prijenosna računala tvrtke. To uključuje MP3 playere, mobitele, USB tipke, ništa. Ako netko to učini, odmah zaključava računalo s plavom bojom zaslon smrti i šalje SMTP alarm. Jedini ovlašteni USB uređaji koje dopuštam su Yubikeys i željezni ključevi.

Zahtijevamo da svi Androidovi pametni telefoni budu sinkronizirani s našim Google Appsom Račun, omogućena je provjera autentičnosti zaporke i šifrirana. "

• Michelle Schenker, vlasnica Cover Story Media, često govori o važnosti promjene lozinki

"Promijenite lozinke često i uvijek koristite složene i jedinstvene lozinke za sve što radite na mreži. Lozinke postaju teže dekodirati kada sadrže širok niz znakova, uglavnom je najbolje ugraditi brojeve, slova, velika slova i simbole u lozinku. Lozinke bi trebale biti teško pogoditi i važno je da se redovito mijenjaju. Preporučuje se da jednom mjesečno promijenite mrežnu lozinku kako biste ih zadržali dinamično i smanjili vjerojatnost da će netko pristupiti vašim osobnim podacima. „

• Kyle Marks, osnivač tvrtke Retire-IT, kaže kako će sigurno ukloniti staru tehnologiju

"Kada organizacija povuče neželjenu tehnologiju, suočava se s rizicima povezanim s sigurnost podataka i poštivanje okoliša. Prijetnje od pouzdanih insajdera i nemarnih dobavljača povećavaju izazov. Tvrtke bi trebale biti svjesne prijetnji sigurnosti podataka koje dolaze s ažuriranjem IT-a. "

• John S. Pitts, osnivač tvrtke Tekcetera, Inc, potiče korištenje vatrozida i VPN-ova

"S porastom broja računalnih hakera i žrtava krađe identiteta, važno je da svoju tvrtku osiguravate pouzdanom zaštitom koristeći vatrozide. To može biti softver ili softver koji se temelji na hardveru i koristi se kako bi se održala sigurnost mreže. Naposljetku, vatrozidi analizirati pakete podataka i odrediti koje bi se informacije trebale dopustiti, na temelju unaprijed određenog pravila.

Virtualne privatne mreže (VPN-ovi) pružaju sigurnost putem protokola tunela i sigurnosnih postupaka kao što je enkripcija. Na primjer, VPN se može koristiti za sigurno povezivanje podružnica organizacije s glavnom uredskom mrežom putem javnog interneta. "

• Alfea Principe, globalni direktor marketinga za recikliranje elektroničkih usluga, podsjeća vlasnike malih tvrtki da sigurno recikliraju računala

"Zajedničko pitanje koje su financijska i vladina pitanja nesvjesna je opasnosti povezane s recikliranjem računala, mobitela, pisača, faksova strojeva, itd. Ako ta elektronika nije ispravno demontirana i staviti u krivu ruke, ove vrlo osjetljive i povjerljive podatke (kredit kartica, bankovni podaci, brojevi socijalnog osiguranja itd.).

• Michael Becce, MRB Public Relations, upozorava na keyloggers

"Prava prijetnja malim tvrtkama je keyloggers. Keyloggers je oblik zlonamjerni softver koji prati svaki pritisak tipke koju napravite na tipkovnici i čini ga dostupni hakerima. Većina ljudi pretpostavlja da će proizvod anti-virus spriječiti keyloggers da dobiju na svojim sustavima, nakon svega, to govori tako dalje kutija. Stvarnost je da najbolje antivirusni proizvodi mogu otkriti manje od 25% poznatih keyloggers. Mnogi su sustavi već zaraženi. Keyloggers prate sve što se prijavljujete u sustav Windows, bankovni obrasci, financijski informacije, e-poštu, društvene medije, pa čak i razmjenu trenutnih poruka. Svaka mala posao treba pretpostaviti da je barem jedna osoba u organizaciji bila pogoditi ili će biti. Mnoge male tvrtke su potpuno zaustavljene već. Kako biste spriječili krađu vaših tipki (i vaših podataka, tajne, novac, itd.), koristite alat za šifriranje pritisaka za šifriranje tipke kao što ste ga napravili kako bi keyloggers pročitali lažne podatke. "

• Sid Haas, voditelj poslovnog razvoja u LKCS-u, govori o angažiranju treće strane tvrtke za mrežnu sigurnost i održavanje treninga

"Mi zaposliti nezavisnu neovisnu tvrtku za mrežnu sigurnost za obavljanje vanjskih procjena ranjivosti na našim poslužiteljima i web stranicama svakih 6 mjeseci. Te procjene prepoznaju specifične sigurnosne propuste na temelju razine rizika. Koristimo informacije u tim izvješćima o procjeni kako bismo ublažili što više ranjivosti - počevši od bilo kojeg identificiranog kao visokog rizika, ali i adresiranjem stavki koje su identificirane kao srednje i niske rizike.

Otkrili smo da je sigurnost u cybersecu toliko o obrazovanju i osposobljavanju od svih ovih drugih koraka. Održavamo godišnje treninge o sigurnosti sa svim zaposlenicima i neprekidno podsjećamo sve naše zaposlenike o sigurnosnim pitanjima, prijevarama i prijetnjama tijekom cijele godine putem e-maila i malih postera prikazanih u našem objektu. "

• Doug Landoll, glavni strateg u Lantego LLC, potiče tvrtke da redovito pregledaju svoju sigurnost

"Pregledavamo trenutačne administrativne, fizičke i tehničke kontrole, pomažu u popunjavanju sigurnosnih anketa i vraćamo malu tvrtku u skladu. To uključuje fizički nadzor zaštite sustava i osjetljivog pohranjivanja podataka, razvoj sigurnosnih pravila i zaključavanje naših sustava.

Male tvrtke obično ciljaju hakeri jer predviđaju slabe kontrole. Moglo bi biti vrlo vjerojatno da će se vaše osjetljive informacije ugrožavati. Za minimalni napor, osnovne kontrole mogu se postaviti ne samo da vam omogućuju usklađenost već i zaštitu povjerljivih informacija vaših kupaca i povećanje zadovoljstva vašom uslugom. "

• Mark J. Sexton, vlasnik Nevada Medical Security Technologies, govori o važnosti osoblja za obuku

"Kada govorimo o cybersecurity za male poduzetnike, glavni cilj je stvoriti sigurnost svijesti s poslovnim vlasnikom i osobljem. Ne možete zaštititi ono što ne znate, tako da postanete informirani o prirodi cyber kriminala, metode koje negativci koriste za dobivanje zaštićenih informacija ili novca / imovine ključ je. Jednom kad ljudi imaju osnovno razumijevanje kako kradljivci koriste tehnologiju da ukrade, onda mogu pogledati svoje sustave i procese i vidjeti jesu li nedostaju praznine ili komadi.

Osnovne stvari poput korištenja složenih zaporki i redovitog mijenjanja, ažuriranja sustava i protuvirusnog softvera.Koristeći aplikaciju za skeniranje zlonamjernog softvera / spywarea na svojim sustavima redovito. Obrazovanje osoblja o odgovarajućoj uporabi tehnologije i kako napadi phishinga i socijalnog inženjerstva rade, imajući pravila o prikladnoj upotrebi poslovnih računala i ne dopuštajući korisnicima da budu puni administratori njihovih sustava, ovdje predstavljaju slabo voće. Administrativna prava su velika, ako korisnici mogu instalirati softver, mogu postati nexus za napad ili dopustiti ključni softver za bilježenje podataka i drugi takav zlonamjerni softver na svoje sustave i potencijalno na svim sustavima u poslovanju.

Na kraju, ipak, to je sve o znanju i informiranju. Gotovo je nemoguće nadoknaditi siromašne računalne prakse od strane zaposlenika i kao rezultat trening postaje ključni. "