Video: Миша Гленни: Нанимайте хакеров! (Listopad 2024)
Probíhá národní týden malých podniků a slavnosti netrvalo dlouho, než se zabýval jedním z nejvíce do očí bijících a dosud přítomných problémů malých a středních podniků (MSP): kybernetická bezpečnost. Small Business Administration (SBA) je vládní agentura USA, která se věnuje poskytování konkrétní pomoci, školení a doporučení, která mohou malé podniky ihned uplatnit ve svých každodenních operacích. Za tímto účelem poskytl dnešní panel kybernetické bezpečnosti SBA konkrétní informace, zdroje a kroky, které mohou podniknout, aby zmírnil bezpečnostní chyby a zavedl komplexní bezpečnostní strategii, místo toho, aby nabízel pouze bezpečnostní trendy na obloze.
Zástupce správce SBA Doug Kramer moderoval panel bezpečnostních expertů, protože diskutovali o největších bezpečnostních rizicích, kterým čelí malé podniky, a o nejdůležitějších krocích, které mohou podniknout k ochraně své infrastruktury a dat, cloudových nebo fyzických. Součástí panelu byl Bill O'Connell, viceprezident Global Trust Assurance ve společnosti ADP; Stephen Cobb, Senior Security Researcher ve společnosti ESET North America; Matt Littleton, východní regionální ředitel společnosti Cybersecurity a Azure Infrastructure Services ve společnosti Microsoft; a Patricia (Pat) Toth, vedoucí počítačového vědce v oddělení počítačové bezpečnosti Národního institutu pro standardy a technologie (NIST).
Panelisté hovořili o problémech s kybernetickou bezpečností, od phishingu, ransomwaru a způsobu, jak řešit porušení, až po to, jak by malé podniky měly přistupovat k multifaktorovému ověřování (MFA), školení a politikám bezpečnosti zaměstnanců, co hledat ve smlouvě o poskytovateli spravovaných služeb (MSP), a kdy zavolat konzultanta pro zabezpečení IT.
Podle Kramera nejde jen o informace o zaměstnaneckých a zákaznických kreditních kartách a bankovnictví, ale o datové firmy v oblasti duševního vlastnictví, které se nacházejí všude, od e-mailu po cloudové úložiště a útočné plochy, díky nimž může malá firma udělat slabý odkaz a snadný cíl dodavatelského řetězce. Podle SBA řekl Kramer, že téměř polovina všech malých podniků byla do jisté míry obětí počítačové kriminality a průměrné náklady na útok jsou přibližně 21 000 USD.
„Každý, kdo zakládá malý podnik, pracuje tak tvrdě, jak jen dokáže, bez dalšího času ani peněz na to, aby se vypořádal s problémem kybernetické bezpečnosti, který by pro malé podniky mohl stát více, než se očekávalo, a znamenat život nebo smrt, “ poznamenal Kramer SBA jako panel začal. "Hrozba kybernetického vniknutí a krádeže je velmi reálná. Malé podniky měří aktiva a zásoby různými způsoby, ale sedí na pokladech informací."
1. Cloud Security: Do's and Don'ts
Z nákladově efektivních a pohodlných důvodů musí všechny SMB zvážit provedení přechodu do cloudu, ale k přechodu musí dojít opatrně. Panelisté diskutovali o některých nejdůležitějších úvahách a překážkách.
- Proveďte: Přírůstkové cloudové zálohování „Cloud má spoustu výhod a rizik, ale jednou z věcí, které by měli všichni dělat, je zálohování, “ řekl Cobb společnosti ESET. „Aktuální záloha všech souborů je nejlepší ochranou před ransomwarem a důležitou součástí držení a obrany vaší kybernetické bezpečnosti. Stále byste měli zálohovat na pevný disk a kopii ukládat někde v bezpečí na samostatném místě, ale cloud vám umožňuje zálohovat neustále."
- Proveďte: Platte za prémiové zabezpečení cloudu „Majitelé malých podniků si uvědomují cenu, ale jiné faktory musí získat správnou váhu, “ řekl O'Connell společnosti ADP. "Některé věci by měly stát vyšší peníze za vyšší úroveň služeb a bezpečnost je jedna z těch věcí. Nestačí se jen rozhodovat na základě ceny."
- Ne: Jen podepište smlouvu o MSP
„Zkontrolujte tu smlouvu, “ řekl Cobb společnosti ESET. "Můžete zadat outsourcing úložiště nebo zálohování, ale nemůžete zadat odpovědnost externě. Pokud majitel SMB říká, že poskytovatel IT má všechna data zákazníků a zaměstnanců - vaše data - jste stále zodpovědní."
„Pokud jde o smlouvu, ale o data, proveďte průzkum, abyste zjistili, zda existují nějaké bezpečnostní problémy, “ dodal O'Connell společnosti ADP. „Pro SMB je smlouva dobrou součástí této linie obrany. Podívejte se na zásady SLA a přístup k datovým vrstvám. Jak dlouho si MSP uchovávají data? Co s tím dělají?“
- Nepoužívejte: Nenechávejte nevyužité prvky infrastruktury MSP "Pokud vstoupíte do cloudového prostředí, můžete si část této odpovědnosti přesunout. Už jsme v aréně platformy, kde se musíte obávat, že zaměstnanci nebudou muset reagovat na problém nebo opravit server, " řekl Microsoft Littleton. "To je místo, kde poskytovatel služeb může vstoupit a zvládnout to vaším jménem. Musíte pochopit, na co se dostanete ze smluvního hlediska a ke kterým službám, které poskytovatel cloudových služeb nabízí."
2. Vícefaktorové ověření: Prostě to udělejte
„Z pohledu osobního i obchodního je MFA něco, co můžete udělat okamžitě. Podniky nemají žádnou omluvu, aby to neprodleně neprovedly, “ řekl Littleton společnosti Microsoft. „Je to jednoduché s celým balíkem produktů společnosti Microsoft. Totéž platí pro Google, Yahoo, pojmenujete poskytovatele e-mailu. Podívejte se na nastavení zabezpečení a jako druhý faktor požadujte, aby každý zaměstnanec zadal číslo svého mobilního telefonu. Pak, i když jsem útočník a já vám ukradnu vaše heslo, nemůžu ho použít, dokud neukradl váš mobilní telefon a neznal PIN.
3. Kdy zavolat poradce pro zabezpečení IT
„ Budou to věci, které nemůžete udělat jako majitel malé firmy, “ řekl O'Connell společnosti ADP. „U velmi důležitých smluv se dostanete mimo právní poradenství. U ročních a čtvrtletních financí máte účetního. Totéž platí pro odborné znalosti v oblasti bezpečnosti. Když potřebujete testovat web, aby se ujistil, že je bezpečný z hlediska webu, nebo provést posouzení rizik, jsou to peníze dobře utracené, pokud nemáte odborné znalosti na to, abyste to udělali sami. Neděláte elektrickou nebo vodovodní instalaci v budově sami; jde o to vědět, kdy potřebujete pomoc."
4. Zabezpečení je součástí práce každého
„Nemůžete se spolehnout pouze na jednu osobu ve společnosti s 10 osobami; každý musí mít dobré znalosti o kybernetické bezpečnosti a o tom, jaká rizika jsou pro organizaci, “ řekl Toth NIST. "Pokud ne, jejich práce by mohla být ohrožena, pokud dojde k porušení a podnikání se nemůže zotavit."
„Udělejte zabezpečení součástí práce každého člověka, “ dodal O'Connell od ADP. „Osoba, která provozuje finance - co musí každý den dělat? Na fyzické straně, kdo je ten, kdo zamykal dveře v noci? Každý potřebuje znát komponenty a jak jejich role zapadá do celkové bezpečnosti podniku.“
5. Nebuďte slabým článkem dodavatelského řetězce
Jak vysvětlil Kramer společnosti SBA, už mezi SMB a podniky neexistuje rozdělení. Malé podniky chtějí buď růst a rozšiřovat, nebo se zapojují do podnikového dodavatelského řetězce pro software a služby. Problém je v tom, že bezpečnostní zásady SMB nemusí odpovídat společnosti dodavatelského řetězce, se kterou chtějí spolupracovat.
„Když SMB získává svou první velkou smlouvu s velkou společností a žádá, aby viděli vaše bezpečnostní politiky a program zvyšování povědomí, neměli byste se skrývat, abyste zkontrolovali všechno z kontrolního seznamu, “ řekl Cobb společnosti ESET. „Riziko dodavatelského řetězce nahoru a dolů je velkým problémem. Pokud SMB interaguje digitálně s dodavatelem, podívejte se na ně. Musíte mít zavedené bezpečnostní politiky a školení, aby se nestaly překážkou.“
„Žádný podnik není příliš malý na to, aby byl zaměřen na počítačovou arénu, zejména z oblasti řízení dodavatelského řetězce, “ řekl Littleton společnosti Microsoft. "Mnoho narušení nezačíná nahoře; začíná někde v dodavatelském řetězci a útočníci postupují až ke konečnému cíli."
TIST NIST řekl v příštích dvou letech, uvidíte, že vládní agentury začnou zveřejňovat pravidla pro přístup k systémům dodavatelského řetězce. Mezitím řekla, že malé a střední podniky musí mít plán.
„Plánování je neocenitelné, abyste věděli, co je opravdu důležité; jednu věc, kterou musíte chránit, a jak by vaše podnikání fungovalo, kdyby nebylo dostupné, “ řekl Toth NIST. „Malé a střední podniky musí mít zavedeny plány, politiky a postupy. Nejedná se o velký vládní přístup. Může to být stejně jednoduché jako zásady v příručce pro zaměstnance, které říkají, co mohou a nemohou udělat na internetu, jak zjistit phishingový útok a kdy otevřít a neotevřít odkazy a přílohy. “
6. Zacházejte s e-mailem jako s pohlednicí, nikoli s obálkou
„První věcí, kterou jako malý podnik dělat s e-mailem, je přemýšlet o tom, co je v něm. Pokud se chystám hacknout něčí firemní informace, jejich e-mail má často všechny dobré věci, “ řekl Cobb společnosti ESET. „Lidé často nemyslí na to, co tam nechávají. Podívej se na hack Sony; lidé říkali v e-mailu věci, které by neměli být. E-mail je pohlednice, ne zapečetěná obálka. Mějte na paměti."
"Je to také stále více o schopnosti kontrolovat data, " řekl Littleton společnosti Microsoft. „Může být užitečné peníze používat šifrovanou e-mailovou službu s příchozím filtrováním, které snižuje vaši útočnou plochu. Pokud jste v e-mailu nechali číslo své kreditní karty, zeptala by se služba, zda to opravdu chcete odeslat, a pak se automaticky zašifrovat ne pouze číslo, ale celý e-mail. S postupem odvětví se tyto služby stávají rozumnějšími a běžnějšími. ““
7. Vždy hlaste incidenty
Kramer společnosti SBA vysvětlil, že když je malá firma porušena nebo zasažena phishingovým podvodem nebo žádostí o ransomware, musí vědět, komu zavolat. Cobb společnosti ESET uvedl, že pokud to malé podniky nehlásí policii ze strachu z vymáhání práva, které nemají prostředky na vyšetřování, cyklus bude pokračovat.
"Máme nešťastný cyklus, ve kterém donucovací orgány získávají finanční prostředky na základě oznámených trestných činů, ale lidé nehlásí trestné činy, protože si nemyslí, že policie nemá zdroje, " uvedl Cobb společnosti ESET. Pokud se nikdo nehlásí, policie nikdy nebude mít prostředky k tomu, aby se vybavila zdroji pro řešení těchto problémů s počítačovou kriminalitou. ““
„Většina obcí má jednotky pro počítačovou trestnou činnost a bude reagovat, “ dodal NIST's Toth.
8. Umístěte plán reakce na incidenty
„Nepokoušíte se zapnout bezpečnostní pás uprostřed nehody, “ řekl Littleton společnosti Microsoft. "Potřebuješ plán, jak budeš reagovat, než dojde k porušení."
„Nejsi v tom úplně sám, “ řekl Cobb společnosti ESET. „Bezpečnostní služby, které si koupíte z police, mají zvýšenou ochranu v cloudu nebo v přístupu k dodavatelskému řetězci. Mohou poskytovat služby detekce a prevence na základní úrovni. Při sestavování plánu se ujistěte, že neopouštějí bezpečnostní služby na stole, který nabízí vaše MSP nebo bezpečnostní služba. “
9. Nenechávejte volné konce
"Jedna z problémových oblastí, kterou vidíme - pokud a kdykoli zaměstnanec odejde nebo je propuštěn - není přístup do systému okamžitě ukončen, " řekl Cobb společnosti ESET. „Malé podniky pracují s lidmi, kterým důvěřují, a se spoustou lidí, kteří přicházejí a odcházejí. Někdy nejdou za těch nejšťastnějších okolností. Pokud má bývalý zaměstnanec s nenávistí stále přístup nebo má stále povolenou vícefaktorovou autentizaci, to je velký problém zasvěcených informací, který lze bolestivě snadno vyřešit. “
10. Vládní zdroje a školení
Vláda podniká významné kroky k řešení kybernetické bezpečnosti. Začátkem tohoto roku vydal Bílý dům rámec pro kybernetickou bezpečnost a návrh rozpočtu prezidenta Obamy na rok 2017 usiluje o 35 procentní zvýšení financování (na 19 miliard dolarů) na řešení útoků na kybernetickou bezpečnost. Kramer SBA a TIST NIST poukázali na volné vládní zdroje, jako je celá stránka SBA o zdrojích kybernetické bezpečnosti pro malé a střední podniky, včetně tipů a nástrojů kybernetické bezpečnosti, kolekce kurzů, školení a webinářů.
Některé z nejužitečnějších zdrojů jsou:
- 10 nejlepších tipů na kybernetickou bezpečnost společnosti SBA
- Online kurz SBA: Kybernetická bezpečnost pro malé podniky
- Nástroj pro posouzení odolnosti vůči kybernetice (CRR)
- Small Business Cyber Planner
- Společné dílny Small Business Workshopů SBA, NIST a FBI
- Kanál YouTube SBA
- Centrum zabezpečení počítače NIST
- Certifikační a vzdělávací programy společnosti COMPTIA, aby se naučily bezpečnostní protokoly MSP
