FAQ: Как защитить мой малый бизнес от кибератак?

Факты: малые предприятия недооценивают свою уязвимость

На прошлой неделе произошли кибератаки, нацеленные на несколько американских банков. Хотя хакеры часто нацелены на крупные компании, малые предприятия также становятся все более уязвимыми.

Малые предприятия склонны недооценивать свою уязвимость перед кибератаками, потому что они недооценивают свою ценность для киберпреступников. Они считают, что они не стоят усилий, чтобы взломать, но владельцы малого бизнеса часто не понимают, как мало усилий взломать компанию с минимальной безопасностью - это опытный киберхаус.

Опрос Symantec Threat Awareness Poll показал, что малые предприятия, как правило, делают слишком мало, чтобы защитить себя от атак:

• 50% владельцев малого бизнеса считают, что они слишком малы, чтобы стать целью для кибератак
• 61% малых предприятий не устанавливают антивирусное программное обеспечение на всех рабочих столах
• 47% не используют безопасность на почтовых серверах
• 67% не используют веб-безопасность

Verizon Business провела обширное исследование нарушений кибербезопасности в 2011 году, с некоторыми неожиданными результатами по тенденциям хакеров, нацеленных на малые предприятия:

• 72% зарегистрированных хакерских нарушений нацелены на бизнес со 100 или менее сотрудниками
• 79% жертв киберата в 2011 году стали объектами возможностей

Хотя малые предприятия могут считать себя достаточно маленькими, чтобы попасть под радар киберпреступников, обычно слабые меры безопасности, осуществляемые малыми предприятиями, делают их легкой мишенью для хакеров. Большинство жертв не были предприятиями со значительными активами или коммерческой тайной, идентифицированными ворами до плановой атаки; скорее всего, у большинства жертв была просто слабая кибербезопасность, которую использовали воры.

Взлом сотрудников

81% нарушений в 2011 году использовало какую-то форму взлома, а 69% использовали вредоносное ПО.

Одним из распространенных способов проникновения киберпреступников в инфраструктуру компании является взлом сотрудников, а не управление. Cyberthieves может отправлять фишинговые письма отдельным сотрудникам, а когда эти электронные письма открываются на сервере компании, вредоносное ПО может украсть информацию о компании.

Предприятиям следует установить четкую политику компании в отношении того, какая информация о компании может быть раскрыта через социальные сети, сотрудники веб-сайтов не должны иметь доступа к работе, как идентифицировать фишинговые электронные письма и как сохранить безопасность мобильных устройств, особенно если они могут войти в компанию сервер через их личное устройство.

Наши советы по сайту: как вы должны защищать свой бизнес?

У FCC есть удобный инструмент планирования кибербезопасности малого бизнеса, который позволяет владельцам малого бизнеса создавать индивидуальный план кибербезопасности, содержащий рекомендации экспертов по двенадцати предметам, включая безопасность сети, мобильные устройства, безопасность объектов и разработку политики.

Investmentmatome рекомендует предпринимателям предпринять четыре первых шага, чтобы защитить себя:

1. Оцените свой статус безопасности. Где все ваши возможные нарушения данных и пробелы в безопасности?
2. Внедрение брандмауэра и антивирусного программного обеспечения
3. Проведите тренинг для сотрудников и передайте им политику компании по кибербезопасности
4. Создавайте административные пароли, которые трудно угадать, в идеале, состоящие из комбинации цифр и букв

Осуществляя комплексный план кибербезопасности и обучая сотрудников по этому плану, предприятия могут защитить свои активы.

Другие мнения экспертов

• Роберт Сицилиано, эксперт McAfee Online Security, предлагает пять советов по обеспечению кибербезопасности вашей компании

«1. Не все данные взломаны. Упражнение от базового до продвинутого помещения / физического таких как контроль доступа, камеры безопасности и сигналы тревоги.

2. Ограничьте объем данных, требуемых от клиентов. Если вы действительно не нужен номер социального страхования, а затем не храните его. Если кредитная карта информацию не нужно хранить, а не хранить.

3. Признайте, что вопросы аутентификации, основанные на знаниях, как пароль сброс может сбить дом. Многие ответы можно найти в социальных медиа-сайтов.

4. Ноутбуки - одна из самых больших точек нарушения данных. Данные ноутбука должны быть зашифрованы. Ноутбуки никогда не должны оставаться в машине на ночь или на гостиничный номер или офис в одиночку или на журнальном столике в кафе без присмотра. Программное обеспечение для отслеживания ноутбуков, которое находит и стирает данные, имеет важное значение.

5. Поезд, поезд, поезд, поезд. Обучение безопасности данных и что делать, и что не нужно делать, это приоритет номер один. Нажав ссылки в письмах, загрузка чего-либо из Интернета или электронной почты, открытие вложений в сообщениях электронной почты, все недавно были успешными способами заражения сети ».

• Натан Корбье, основатель Corbier и Associates, рассказывает о устройствах сотрудников

«Мы не позволяем никому подключать несанкционированные устройства к нашим рабочим станциям или корпоративные ноутбуки. Это включает в себя MP3-плееры, сотовые телефоны, USB-ключи, ничего такого. Если кто-то это делает, он немедленно блокирует ПК синим цветом экран смерти и отправляет сигнал SMTP. Единственными авторизованными USB-устройствами, которые мы разрешаем, являются Yubikeys и Iron Keys.

Мы требуем, чтобы все смартфоны Android были синхронизированы с нашими Google Apps Учетная запись, авторизация пароля включена и зашифрована ».

• Мишель Шенкер, владелец Cover Story Media, говорит о важности частое изменение паролей

«Часто меняйте пароли и всегда используйте сложные и уникальные пароли для всего, что вы делаете в Интернете. Пароли становятся сложнее декодировать, когда они содержат широкий спектр символов, как правило, лучше всего включать в свой пароль цифры, буквы, заглавные буквы и символы. Пароли должны быть трудно догадаться, и важно, чтобы они регулярно менялись. Предлагается, чтобы вы каждый раз меняли свои онлайн-пароли, чтобы поддерживать их динамичность и уменьшать вероятность того, что кто-то получит доступ к вашей личной информации. «

• Кайл Маркс, основатель Retire-IT, говорит, что надежно распоряжается старой технологией

«Когда организация отказывается от нежелательной технологии, она сталкивается с рисками, связанными с безопасностью данных и соблюдением природоохранных требований. Угрозы доверенных инсайдеров и небрежных поставщиков увеличивают проблему. Компании должны знать об угрозах безопасности данных, связанных с обновлением ИТ ».

• Джон С. Питтс, основатель Tekcetera, Inc., поощряет использование брандмауэров и VPN

«С ростом числа компьютерных хакеров и жертв кражи личных данных настоятельно необходимо обеспечить надежную защиту вашей компании с помощью брандмауэров. Они могут быть основаны на программном или аппаратном обеспечении и использоваться для обеспечения безопасности сети. В конечном итоге брандмауэры анализируют пакеты данных и определяют, какая информация должна быть разрешена на основе заданного набора правил.

Виртуальные частные сети (VPN) обеспечивают безопасность посредством протоколов туннелирования и процедур безопасности, таких как шифрование. Например, VPN можно использовать для безопасного подключения филиалов организации к сети головного офиса через общедоступный Интернет ».

• Alfea Principe, директор по глобальному маркетингу по переработке электроники, напоминает владельцам малого бизнеса безопасно перерабатывать компьютеры

«Общей проблемой, о которой не знают финансовые и правительственные проблемы, является опасности, связанные с непереработкой компьютеров, сотовых телефонов, принтеров, факсов машины и т. д. правильно. Если эта электроника не демонтирована правильно и положить в чужие руки, это очень чувствительные и конфиденциальные данные (кредит карта, банковская информация, номера социального страхования и т. д.).

• Майкл Бекс, общественные отношения MRB, предупреждает о клавиатурных шпионах

«Реальная угроза для малого бизнеса - кейлогеры. Keyloggers - это форма вредоносное ПО, которое отслеживает каждое нажатие клавиши на клавиатуре и делает ее доступный для хакеров. Большинство людей полагают, что антивирусный продукт будет запретить кейлоггерам попасть в свои системы, в конце концов, это так говорит коробка. Реальность такова, что самые лучшие антивирусные продукты могут обнаруживать менее 25% известных клавиатурных шпионов. Многие системы уже заражены. Keyloggers отслеживают все, начиная с вашего входа в систему Windows, банковских форм, финансовых информации, электронной почты, социальных сетей и даже обмена мгновенными сообщениями. Каждый маленький бизнес должен предположить, что по крайней мере один человек в организации был ударить или будет. Многие малые предприятия полностью отключены уже. Чтобы предотвратить кражу ваших нажатий клавиш (и ваших данных, секреты, деньги и т. д.), используйте инструмент шифрования ключей для шифрования каждого нажатия клавиш, поскольку вы делаете это так, чтобы кейлогеры читали поддельные данные ».

• Сид Хааз, вице-президент по развитию бизнеса в LKCS, говорит о найме сторонней сетевой охранной фирмы и проведении тренингов

«Мы нанимаем стороннюю независимую сетевую фирму по безопасности для проведения внешних оценок уязвимостей на наших серверах и веб-сайтах каждые 6 месяцев. Эти оценки определяют конкретные уязвимости безопасности, основанные на уровне риска. Мы используем информацию в этих отчетах об оценке для уменьшения как можно большего числа уязвимостей - начиная с любого, идентифицированного как высокий риск, но также для решения вопросов, обозначенных как средний и низкий риск.

Мы обнаружили, что кибербезопасность - это как минимум образование и обучение, чем все эти другие шаги. Мы проводим ежегодные тренинги по безопасности со всеми сотрудниками и постоянно напоминаем всем нашим сотрудникам о проблемах безопасности, аферах и угрозах в течение года через электронную почту и небольшие плакаты, отображаемые на нашем объекте ».

• Дуг Лэндолл, главный стратег Lantego LLC, призывает компании регулярно проверять свою безопасность

«Мы рассматриваем текущий административный, физический и технический контроль, помогает заполнить опросы по вопросам безопасности и возвращает малый бизнес в соответствие. Это предполагает физическую проверку защиты систем и конфиденциального хранения данных, разработку политики безопасности и блокируя наши системы.

Малому бизнесу часто угрожают хакеры, потому что они ожидают слабого контроля. Вероятность того, что ваша конфиденциальная информация будет скомпрометирована, может быть весьма вероятной. Для минимальных усилий можно использовать базовые средства управления, чтобы не только привести вас в соответствие, но и защитить конфиденциальную информацию ваших клиентов и повысить их удовлетворенность вашим сервисом ».

• Марк Дж. Секстон, владелец Nevada Medical Security Technologies, рассказывает о важности подготовки персонала

«Говоря о кибербезопасности для малого бизнеса, главная цель - создать осведомленность о безопасности с владельцем бизнеса и персоналом. Вы не можете защитить то, о чем не знаете, поэтому, узнав о характере киберпреступности, методы, которые плохие парни используют для получения защищенной информации или денег / активов, являются ключевыми. Когда у людей есть общее представление о том, как воры используют технологию для кражи, тогда они могут смотреть на свои собственные системы и процессы и видеть, есть ли недостатки или части.

Основные вещи, такие как использование сложных паролей и их регулярное изменение, обновление систем и антивирусного программного обеспечения.Регулярное использование приложения сканирования вредоносных программ или шпионских программ на их системах. Обучение персонала правильному использованию технологий и работе с фишингом и социальными инженерами, политика в отношении надлежащего использования бизнес-компьютеров и не позволяющая пользователям быть полными администраторами их систем, являются плохими плодами. Административные права являются большими, если пользователи могут устанавливать программное обеспечение, они могут стать связующим звеном для атаки или разрешить использование программного обеспечения для ключей и другого такого вредоносного программного обеспечения для их систем и, возможно, для всех систем в бизнесе.

В конце концов, все дело в знаниях и информировании. Практически невозможно компенсировать плохую компьютерную практику сотрудниками, и в результате обучение становится ключевым ».