10 kiberbiztonsági lépés, amelyet kisvállalkozásának most meg kell tennie

Folyamatban van a Nemzeti Kisvállalkozási Hét, és az ünnepségek nem tartottak sokáig ahhoz, hogy a kis- és középvállalkozások (KKV-k) egyik legmegvilágítóbb és soha jelenlévő kérdését - a kiberbiztonság - foglalkoztassák. A Small Business Administration (SBA) az egyesült államokbeli kormányzati ügynökség, amelynek feladata konkrét segítség, képzés és ajánlások nyújtása, amelyeket a kisvállalkozások azonnal végrehajthatnak a napi tevékenységeik során. Ebből a célból, ahelyett, hogy az égbolton csak az égbolton jelennének meg a biztonsági tendenciák, a mai SBA kiberbiztonsági panel konkrét tippeket, erőforrásokat és lépéseket adott az SMB-knek a biztonsági rések enyhítésére és az átfogó biztonsági stratégia kidolgozására.

Az SBA adminisztrátor-helyettes, Doug Kramer moderálta a biztonsági szakértők testületét, mivel megvitatták a kisvállalkozások legnagyobb biztonsági kockázatait és a legfontosabb lépéseket, amelyeket megtehetnek az infrastruktúra és az adatok védelme érdekében, akár felhő alapú, akár fizikai szempontból. A testületbe Bill O'Connell, az ADP globális bizalmi biztosításának alelnöke tartozik; Stephen Cobb, az ESET Észak-Amerika vezető biztonsági kutatója; Matt Littleton, a Microsoft kiberbiztonsági és Azure-infrastruktúra-szolgáltatások keleti regionális igazgatója; és Patricia (Pat) Toth, a Nemzeti Szabványügyi és Technológiai Intézet (NIST) Számítógépes biztonsági osztályának felügyelő számítógépes tudósa.

A panelek kiberbiztonsági kérdésekről beszélték az adathalászattól, a ransomware-től és a jogsértések kezelésének módjától kezdve a kisvállalkozásoknak a multifaktoros hitelesítéshez (MFA), a munkavállalói biztonsági képzésekhez és az irányelvekhez való hozzáállásához, és mit kell keresni egy kezelt szolgáltató (MSP) szerződésben, és mikor kell felvenni egy informatikai biztonsági tanácsadót.

Kramer szerint nemcsak a munkavállalók és az ügyfelek hitelkártyáival és banki adataival foglalkozik, hanem a szellemi tulajdonra vonatkozó adatokkal foglalkozó vállalkozások mindenütt megtalálhatók, az e-mailektől a felhőalapú tárolásig, valamint a támadási felületektől, amelyek a kisvállalkozások számára gyenge kapcsolatot és egyszerű célt tehetnek az ellátási lánc. Az SBA szerint Kramer mondta, hogy a kisvállalkozások szinte felét valamilyen mértékben kibernetikus bűncselekmények sújtják, és a támadás átlagos költsége körülbelül 21 000 dollár.

"Bárki, aki kisvállalkozást indít, annyira keményen dolgozik, hogy nincs extra ideje és pénze olyan kiberbiztonsági kihívás kezelésére, amely a vártnál többet fizethet, és egy kisvállalkozás életét vagy halálát jelentheti" - emlékeztette az SBA Kramer testületét. kezdődött. "A számítógépes betolakodás és lopás veszélye nagyon valódi. A kisvállalkozások különböző módon mérik meg az eszközöket és a készleteket, ám az információk kincsedéjén ülnek."

1. Felhőbiztonság: csinálj és ne tedd

Költséghatékonysági és kényelmi okokból minden kkv-nak mérlegelnie kell a felhőbe való átállást, ám az átmenetnek gondosan meg kell történnie. A testület tagjai megvitatták a legfontosabb szempontokat és akadályokat.

• Csinál: Növekményes felhő biztonsági mentés

  "A felhőnek számos előnye és kockázata van, de az SMB-knek mindegyiknek tennie kell a biztonsági mentést" - mondta az ESET Cobb. "Az összes fájl aktuális biztonsági mentése a legjobb védelem a ransomware ellen, valamint a kiberbiztonsági testtartás és védelem kritikus része. Még mindig készítsen biztonsági másolatot egy merevlemezre, és másolatot tároljon biztonságos helyen, egy külön helyen, de a felhő lehetővé teszi a biztonsági mentést. állandóan."

• Csinál: Fizessen a prémium felhőalapú biztonságért

  "A kisvállalkozások tulajdonosai ár-tudatosak, de más tényezőknek meg kell szerezniük a megfelelő súlyt" - mondta az ADP O'Connell. "Egyes dolgoknak többet kell fizetniük a magasabb szintű szolgáltatásért, és a biztonság az egyik ilyen dolog. Ne csak az ár alapján hozzon döntést."

• Ne: Csak írja alá az MSP-szerződést

  "Ellenőrizze a szerződést" - mondta az ESET Cobbja. "Tárolást vagy biztonsági mentést kiszervezhet, de a felelősséget nem ruházhatja ki. Ha az SMB tulajdonosa azt állítja, hogy az informatikai szolgáltatónak minden ügyféladat és alkalmazottja van - az Ön adatai -, akkor továbbra is a felelős."

  "Amikor nemcsak a szerződésre, hanem az adatokra is vonatkozik, végezze el kutatását, hogy megbizonyosodjon arról, hogy vannak-e biztonsági problémák" - tette hozzá az ADP O'Connell. "Egy KKV számára a szerződés jó része a védelemnek. Nézze meg az SLA-kat és a hozzáférési szintre vonatkozó irányelveket. Meddig tartanak az MSP-k az adatokat? Mit csinálnak vele?"

• Ne: Hagyja ki a nem használt MSP-infrastruktúra-szolgáltatásokat

  "Ha belép egy felhő környezetbe, megváltoztathatja ennek a felelősségnek egy részét. Mi már nem vagyunk egy olyan platform arénában, ahol aggódnunk kell, mert nem kell a személyzet válaszolni egy problémára, vagy egy szervert javítani." - mondta a Microsoft Littleton. "Itt léphet be a szolgáltató, és kezelheti ezt az ön nevében. Meg kell értenie, hogy mit jelent a szerződés szempontjából, és milyen szolgáltatásokat nyújt a felhő-szolgáltató."

2. Többtényezős hitelesítés: Csak csináld

"Személyes és üzleti szempontból egyaránt az MFA olyan, amit azonnal megtehet. A vállalkozásoknak nincs mentségük arra, hogy ezt ne tegyék meg azonnal" - mondta a Microsoft Littleton. "Ez egyszerű a teljes Microsoft termékcsomaggal; ugyanez vonatkozik a Google-ra, a Yahoo-ra, akkor nevezze meg az e-mail szolgáltatót. Nézze meg a biztonsági beállításokat, és minden munkavállalótól megkövetelje, hogy második tényezőként adja meg mobiltelefonszámát. Akkor még akkor is, ha én vagyok egy támadó és ellopom a jelszavát, csak akkor használhatom, ha ellopom a mobiltelefonját, és tudom a PIN-kódot."

3. Mikor hívjon egy IT biztonsági tanácsadót

" Vannak olyan dolgok, amelyeket nem tudsz egyedül megtenni kisvállalkozásként" - mondta az ADP O'Connell. "Nagyon fontos szerződések esetén külső jogi tanácsadást kap. Az éves és negyedéves pénzügyi adatokkal kapcsolatban könyvelővel kell rendelkeznie. Ugyanez vonatkozik a biztonsági szakértelemre is. Ha ki kell próbálnia egy webhelyet, hogy megbizonyosodjon arról, hogy web-biztonságos, vagy kockázatértékelést kell végeznie, a pénz jól elköltött, ha nincs hozzáértése, hogy maga elvégezhesse. Nem az épület elektromos vagy vízvezetékét csinálja, hanem az, hogy tudja, mikor van szüksége segítségre."

4. A biztonság mindenki munkájának része

"Nem lehet csak egy emberre támaszkodni egy 10 fős társaságban; mindenkinek jól meg kell értenie a kiberbiztonságot és azt, hogy milyen kockázatokkal jár a szervezet" - mondta Toth, a NIST. "Ha nem, akkor munkájuk veszélybe kerülhet, ha jogsértés történik, és az üzlet nem képes helyreállni."

"Tegye a biztonságot minden ember munkájának részévé" - tette hozzá az ADP O'Connell. "A pénzügyekkel foglalkozó személy - mit kell tennie minden nap? A fizikai oldalról ki az, aki éjjel bezárja az ajtót? Mindenkinek tudnia kell az összetevőket és azt, hogy szerepe hogyan illeszkedik az üzleti vállalkozás általános biztonságához."

5. Ne légy a gyenge ellátási lánc összekötője

Ahogyan az SBA Kramer kifejtette, már nincs felosztás a kkv-k és a vállalkozások között. A kisvállalkozások vagy növekedni akarnak, és méretarányosan növekednek, vagy bekapcsolódnak egy szoftver- és szolgáltatás-ellátási láncba. A probléma az, hogy az SMB biztonsági politikája valószínűleg nem egyezik meg azzal az ellátási lánc társasággal, amellyel partnereket keresnek.

"Amikor egy SMB megkapja az első nagy szerződését egy nagyvállalattal, és felkéri a biztonsági politikák és a figyelemfelkeltő program megtekintését, akkor ne próbáljon mindent ellenőrizni az ellenőrző listán kívül" - mondta az ESET Cobb. "Az ellátási lánc kockázata felfelé és lefelé komoly aggodalomra ad okot. Ha egy SMB digitális kapcsolatban áll egy szállítóval, ellenőrizze őket. A biztonsági politikának és a képzésnek rendelkeznie kell a helyén, hogy ne váljon akadályt."

"Egyik vállalkozás sem túl kicsi ahhoz, hogy megcélzódjon a számítógépes arénában, különösen az ellátási lánc menedzsmentje szempontjából" - mondta a Microsoft Littleton. "Sok jogsértés nem a tetején kezdődik; valahol az ellátási láncban indulnak, és a támadók a végső cél felé vezetnek."

A NIST Toth elmondása szerint a következő két évben látni fogja, hogy a kormányhivatalok elkezdenek közzétenni az ellátási láncrendszerekhez való hozzáférés szabályait. Időközben azt mondta, hogy a kkv-knak rendelkezniük kell egy tervvel.

"A tervezés felbecsülhetetlen fontosságú ahhoz, hogy megismerjük, mi az igazán fontos; egy dolog, amelyet meg kell védenie, és hogy működne az Ön vállalkozása, ha nem lenne elérhető" - mondta Toth, a NIST. "A kkv-knak tervekkel, politikákkal és eljárásokkal kell rendelkezniük. Nem nagy kormányzati megközelítés; olyan egyszerű, mint a munkavállalói kézikönyvben szereplő politikák, amelyek azt mondják, hogy mit tehetnek és mit nem tudnak megtenni az interneten, hogyan kell észlelni az adathalász támadást., és mikor nyissa meg és ne nyissa meg a linkeket és mellékleteket."

6. Az e-mailt úgy kezelje, mint képeslapot, nem borítékot

"Az e-mailekkel foglalkozó kisvállalkozásként az első dolog, hogy gondolkodjon azon, mi van benne. Ha csapkodni akarok valakinek a vállalati adataival, akkor az e-mailükben gyakran minden jó van" - mondta az ESET Cobb. "Az emberek gyakran nem gondolkodnak azon, hogy mit hagynak ott. Nézze meg a Sony csapkod; az emberek azt mondták, hogy az e-mailen keresztül dolgoknak nem kellett volna lenniük. Az e-mail képeslap, nem pedig lezárt boríték. Vegye ezt szem előtt."

"Ez egyre inkább az adatok ellenőrzésének képességéről szól" - mondta a Microsoft Littleton. "Érdemes lehet pénzt egy titkosított e-mail szolgáltatás igénybevételével a bejövő szűréssel, amely csökkenti a támadási felületet. Ha a hitelkártya számát e-mailben hagyta, akkor a szolgáltatás megkérdezi, hogy valóban el szeretné-e küldeni, majd automatikusan titkosítja. csak a számot, de a teljes e-mailt. Az ipar fejlődésével ezek a szolgáltatások ésszerűbbé és általánosabbá válnak."

7. Mindig jelentsen eseményeket

Az SBA Kramer elmagyarázta, hogy amikor egy kisvállalkozást megsértenek, vagy adathalász-csalással vagy ransomware-kéréssel megtámadtak, tudnia kell, hogy kihez kell hívni. Az ESET Cobb elmondta, hogy ha a kisvállalkozások nem jelentenek ezt a rendõrségnek, mert attól tartanak, hogy a rendõrség nem rendelkezik a nyomozáshoz szükséges erõforrásokkal, a ciklus állandósul.

"Van egy szerencsétlen ciklus, amelyben a bűnüldözés a bejelentett bűncselekmények alapján részesül finanszírozásban, de az emberek nem jelentenek bűncselekményeket, mert nem gondolják, hogy a rendőrségnek van erőforrása" - mondta az ESET Cobb. Ha senki nem tesz jelentést, a rendőrségnek soha nem lesz bizonyíték arra, hogy felszerelje magát a kiberbűnözés e kérdéseinek kezeléséhez szükséges forrásokkal."

"A legtöbb település rendelkezik számítógépes bűnözéssel és reagálni fog" - tette hozzá Noth Toth.

8. Rendelkezzen az események elhárítására szolgáló tervvel

"Nem próbálhatja a biztonsági övet a baleset közepén helyezni" - mondta a Microsoft Littleton. "Szüksége van egy tervre, amely ismerteti, hogyan fog reagálni, mielőtt a jogsértés bekövetkezik."

"Te sem vagy teljesen ebben egyedül" - mondta az ESET Cobbja. "A polcról vásárolt biztonsági szolgáltatások fokozott védelmet élveznek a felhőben vagy az ellátási lánchoz való hozzáférés során. Lehet, hogy alapszintű észlelési és megelőzési szolgáltatásokat nyújtanak. A terv összeállításakor ügyeljen arra, hogy ne hagyja el a biztonsági szolgáltatásokat. az MSP vagy a biztonsági szolgálat által kínált asztalon."

9. Ne hagyja a laza végeket

"Az egyik problémás terület, amelyet látunk - ha egy munkavállaló elhagyja, vagy elbocsátják - a rendszerhez való hozzáférésük azonnal nem fejeződik be" - mondta az ESET munkatársa. "A kisvállalkozások olyan emberekkel működnek együtt, akikben megbíznak, és sok ember, akik jönnek és mennek. Néha nem a legboldogabb körülmények között járnak. Ha egy korábbi munkavállaló, akinek haragja még mindig hozzáfér, vagy még mindig lehetővé teszi a multifaktoros hitelesítést, akkor az egy nagy bennfentes biztonsági probléma, amelyet fájdalmasan könnyű kezelni."

10. Kormányzati források és képzés

A kormány jelentős lépéseket tesz a kiberbiztonság kezelése érdekében. A Fehér Ház ez év elején kiadta a kiberbiztonsági keretet, és Obama elnök 2017. évi költségvetési javaslata 35% -kal (19 milliárd dollárra) növeli a kiberbiztonsági támadások kezelését. Az SBA Kramer és a NIST's Toth rámutatott a szabad kormányzati erőforrásokra, például az SBA KKB-k kiberbiztonsági erőforrásainak teljes oldalára, beleértve a kiberbiztonsági tippeket és eszközöket, tanfolyamok, képzések és webinarok gyűjteményét.

Néhány a leghasznosabb források:

• Az SBA 10 legfontosabb kiberbiztonsági tippe
• SBA online tanfolyam: Kiberbiztonság kisvállalkozások számára
• Kiberbiztonsági áttekintés (CRR) értékelő eszköz
• A Small Biz Cyber ​​Planner
• SBA, NIST és az FBI közös kisvállalkozói szemináriumai
• Az SBA YouTube-csatornája
• A NIST számítógépes biztonsági erőforrásközpontja
• A COMPTIA tanúsításai és oktatási programjai az MSP biztonsági protokollok megtanulására