Октябрь объявлен Национальным месяцем осведомленности о кибербезопасности Министерством внутренней безопасности. И хотя вы можете думать, что ваш бизнес слишком мал, чтобы беспокоиться о кибербезопасности, вы ошибаетесь.
Недавно я поговорил со Стефани Бенуа-Курц, ведущим факультетом кибербезопасности Университета Феникса и главным консультантом по безопасности в Trace3, о том, как владельцы малого бизнеса могут наилучшим образом защитить свои компании от кибератак.
Многие владельцы малого бизнеса и стартапы считают, что их бизнес слишком мал, чтобы киберпреступники пытались его взломать. Я знаю, что это неправильно. С какой опасностью сталкиваются малые предприятия?
Стефани Бенуа-Курц: Малый бизнес является мишенью по нескольким причинам. Злоумышленники осознают, что у них может не быть больших ИТ-групп или систем для реагирования или предотвращения инцидентов. По данным ФБР, киберпреступность обошлась бизнесу в более чем 2,7 миллиарда долларов в 2020 году. Получив более 791 000 жалоб, злоумышленники направляются туда, где они могут монетизировать свои усилия.
На какие риски кибербезопасности следует обращать внимание малому бизнесу?
Бенуа-Курц: По мере того как атакуются крупные и малые организации, атаки SMB становятся все более частыми, сокращая разрыв с более крупными организациями. Согласно Verizon, в DBIR Report , более мелкие нарушения в организации становятся все чаще из года в год. Системное вторжение по-прежнему является одной из основных причин инцидентов. Это когда злоумышленники получают доступ к данным и системам.
Какие киберугрозы наиболее распространены для малого бизнеса? Отличаются ли они, если вы ведете виртуальный / удаленный бизнес?
Бенуа-Курц: Мошенничество с электронной почтой и социальной инженерией продолжает наносить ущерб всему бизнесу. PWC провела имитацию фишинга в нескольких финансовых учреждениях, и 70% писем были доставлены с коэффициентом кликов конечных пользователей 7%. Достаточно одного щелчка мышки, чтобы раскрыть вашу организацию злоумышленнику. Огромное количество полезных данных по-прежнему приходит по электронной почте. У CISA есть несколько отличных советов, как не стать жертвой фишинга и социальной инженерии.
Эти проблемы не сильно отличаются между виртуальным или удаленным бизнесом и локальным бизнесом. Организациям необходимо проводить регулярные тренинги по фишингу и социальной инженерии, чтобы уменьшить количество инцидентов. Некоторые эксперты считают, что, по оценкам, 70% риска могут быть снижены за счет организаций, которые обучают сотрудников выявлять фишинговые ситуации и ситуации социальной инженерии. Эта проблема только экспоненциально обострилась во время пандемии COVID-19. В Отчет о фишинге и мошенничестве за 2020 год , F5 сообщает, что во время пандемии количество фишинговых атак увеличилось на 220%.
Лучшая защита - это хорошее нападение, и малые предприятия должны инвестировать в обучение сотрудников фишингу и социальной инженерии. Эти услуги относительно недорогие и могут обеспечить дополнительный уровень защиты для малого бизнеса.
Какую политику паролей вы рекомендуете?
Бенуа-Курц: Другая ведущая угроза - это кража учетных данных. Логины и пароли открываются из-за небезопасного соединения или из-за того, что они использовались в предыдущей организации, которая была взломана. Предположим, что все ваши социальные сети, личная электронная почта и другие логины и пароли были где-то раскрыты взломом. Для рабочих учетных записей не используйте повторно логины и пароли.
Часто, когда организация взломана, логины и пароли поступают в продажу в Darkweb, где хакеры покупают списки, а затем ищут жертв, используя подход целевого фишинга. Вторая рекомендация - немного усложнить пароль. Например, используйте не имя ребенка или домашнего животного, а кодовую фразу, содержащую специальные символы и числа. Иногда сотрудники страдают от усталости паролей. Хранилище паролей может быть лучшим решением. Это создает уникальные пароли и дает сотрудникам инструмент, который помогает им управлять своими учетными записями. Журнал для ПК опубликовали отличную статью «Лучшие менеджеры паролей на 2021 год», в которой рассказали о преимуществах различных решений.
Бенуа-Курц: Как обеспечить безопасность данных, если сотрудники работают в кафе, аэропортах, гостиничных номерах и т. д.?
Бесплатные сети в кафе, отелях, ресторанах и аэропортах небезопасны. Эти удобные и простые в подключении сервисы неуправляемы и атакуют хакеров, которые охотятся на ничего не подозревающих пользователей. Даже если вам нужно ввести номер вашего гостиничного номера или какой-либо тип пароля, скорее всего, это незащищенная сеть, в которой ваши личные данные и данные компании могут оказаться под угрозой. Подумайте о предоставлении сотрудникам тарифных планов для мобильных телефонов или точек доступа, обеспечивающих безопасный доступ к сети. Здесь вы привязываете свой компьютер к защищенному сетевому соединению с мобильным телефоном или другим устройством LTE. Этот тип связи также подходит для команд, которым необходимо сотрудничать. ComputerWorld, в статье «Как использовать смартфон в качестве мобильной точки доступа» подробно рассказывается о том, как эта простая практика может улучшить состояние безопасности малого бизнеса.
Что такое VPN и как его настраивают малые предприятия?
Бенуа-Курц: Если вам необходимо использовать общедоступный Интернет во время работы на дому или удаленной работы, виртуальная частная сеть (VPN) - отличное решение для создания дополнительного уровня безопасности. Думайте о VPN как о конфете. Обертка не пропускает леденец и не допускает попадания других загрязнений. Программное обеспечение VPN обеспечивает шифрование вашего подключения к Интернету, что значительно усложняет хакерам перехват сообщений. Кроме того, программное обеспечение / услуга относительно недороги, и малому бизнесу не нужно создавать собственный VPN. Вместо этого они могут найти на рынке продукт, обеспечивающий безопасность без огромных затрат.
Как заставить сотрудников следовать этим правилам?
Бенуа-Курц: Часть надежной программы безопасности включает обучение, инструменты и показатели использования. Малый бизнес должен быть бдительным. Управление конфигурацией может быть реализовано, чтобы заставить компьютеры сотрудников иметь защиту конечных точек. Клиенты VPN должны использоваться, когда вы находитесь в удаленном режиме и не разрешаете подключения к случайным сетям. Вы также можете развлечься, например наградить сотрудников подарочными картами и фирменными подарками за соблюдение требований. Признавайте пользователей, которые прилагают усилия.
Какова цена нарушения?
Бенуа-Курц: Проще говоря, прорывы обходятся дорого. Как малый бизнес ваша репутация и доверие клиентов могут оказаться под угрозой. По оценке Small Business Trends, средняя цена нарушения прав на малый бизнес составляет 25 000 долларов. И IBM в своем ежегодном отчете Стоимость утечки данных , говорит, что за последние два года эти расходы увеличились более чем на 10%. Однако в эти затраты не входит потеря доверия клиентов и связанная с этим потеря бизнеса, когда клиенты уходят ради конкуренции.
Обеспечение кибербезопасности вашего малого бизнеса - дорогое удовольствие?
Бенуа-Курц: Нет, наличие надежной защиты кибербезопасности не должно быть дорогостоящим. Думайте об этом как о одеяле на кровати. Кибербезопасность предоставляет уровни различных технологий и процессов, которые защищают пользователей. Обучение, программное обеспечение VPN, защита конечных точек и точки доступа - все это значительно снижает риски и может быть реализовано без привлечения большого ИТ-персонала. Как малый бизнес, ищите партнера по безопасности, который поможет вам с решениями и масштабированием, которые работают в рамках вашего бюджета.
Существует множество отличных ресурсов, которые могут помочь малому бизнесу в обеспечении безопасности. SBA публикует множество замечательных материалов, и есть охранные организации, которые специализируются на помощи компаниям в их пути к обеспечению безопасности. Отличный способ начать - пригласить партнера по безопасности, который проведет оценку рисков безопасности и поможет вам начать работу. Хороший партнер по безопасности не только поможет вам найти ваши слабые места, но и расширит вашу программу безопасности по мере изменения ландшафта угроз. Если у вас нет партнера по безопасности, сделайте домашнее задание и проинтервьюируйте несколько организаций, чтобы найти подходящий вариант.
Конечно, ваш наставник по SCORE может помочь вам сделать правильный выбор. Найдите сегодня.