Video: playingtheangel - КИБЕРНЕТИК (prod. by ezwxy) (Septembra 2024)
Prebieha národný týždeň malých podnikov a slávnosti netrvalo dlho a zaoberali sa jedným z najzaujímavejších a vôbec aktuálnych problémov malých a stredných podnikov (MSP): kybernetickou bezpečnosťou. Small Business Administration (SBA) je vládna agentúra USA, ktorá sa venuje poskytovaniu konkrétnej pomoci, školeniam a odporúčaniam, ktoré malé podniky môžu okamžite uviesť do praxe pri každodenných činnostiach. Na tento účel, dnešný panel kybernetickej bezpečnosti SBA, poskytoval SMB konkrétne tipy, zdroje a kroky, ktoré môžu podniknúť na zmiernenie bezpečnostných zraniteľností a zavedenie komplexnej bezpečnostnej stratégie, a nielen ponúkali trendy bezpečnosti na oblohe.
Zástupca administrátora SBA Doug Kramer moderoval panel bezpečnostných expertov, pretože diskutovali o najväčších bezpečnostných rizikách, ktorým čelia malé podniky, ao najdôležitejších krokoch, ktoré môžu podniknúť na ochranu svojej infraštruktúry a údajov, cloudových alebo fyzických. Panel zahŕňal Bill O'Connell, viceprezident spoločnosti Global Trust Assurance v spoločnosti ADP; Stephen Cobb, vedúci výskumu bezpečnosti spoločnosti ESET North America; Matt Littleton, východný regionálny riaditeľ spoločnosti Cybersecurity a Azure Infrastructure Services v spoločnosti Microsoft; a Patricia (Pat) Toth, vedecká počítačová vedkyňa v oddelení počítačovej bezpečnosti Národného inštitútu pre normy a technológie (NIST).
Účastníci rozhovoru hovorili o problémoch s kybernetickou bezpečnosťou od phishingu, ransomwaru a spôsobu riešenia porušenia až po to, ako by malé podniky mali pristupovať k multifaktorovému overovaniu (MFA), školeniu a politikám v oblasti bezpečnosti zamestnancov, čoho treba hľadať v zmluve o poskytovateľovi spravovaných služieb (MSP), a kedy zavolať konzultanta pre bezpečnosť IT.
Podľa Kramera nejde iba o informácie o zamestnaneckých a zákazníckych kreditných kartách a bankovníctve, ale o údaje o podnikoch zaoberajúcich sa duševným vlastníctvom, ktoré sa nachádzajú všade, od e-mailu po úložisko v cloude a povrchy útoku, vďaka ktorým môže byť malý podnik slabým článkom a ľahkým cieľom v dodávateľského reťazca. Podľa SBA Kramer uviedol, že takmer polovica všetkých malých podnikov bola do istej miery obeťou počítačovej kriminality a priemerné náklady na útok sú približne 21 000 dolárov.
„Každý, kto zakladá malú firmu, pracuje tak usilovne, ako je to možné, bez dodatočného času ani peňazí na riešenie problému kybernetickej bezpečnosti, ktorý by pre malú firmu mohol stáť viac, ako sa očakávalo, a znamenať život alebo smrť, “ poznamenal Kramer SBA ako panel. začalo. „Hrozba vniknutia do počítačov a krádeží je veľmi reálna. Malé podniky merajú aktíva a zásoby rôznymi spôsobmi, ale sedia v pokladnici informácií.“
1. Cloud Security: Do's and Don'ts
Z dôvodov nákladovej efektívnosti a pohodlia musia všetky malé a stredné podniky zvážiť vykonanie prechodu na cloud, ale k tomuto prechodu musí dôjsť opatrne. Panelisti diskutovali o niektorých najdôležitejších úvahách a prekážkach.
- Vykonajte: Prírastkové zálohovanie v cloude „Cloud má množstvo výhod a rizík, ale malé a stredné podniky, ktoré by mali robiť všetci, sú zálohovanie, “ uviedol Cobb spoločnosti ESET. „Súčasná záloha všetkých súborov je najlepšou ochranou pred ransomware a kritickou časťou držania tela a obrany vašej kybernetickej bezpečnosti. Stále by ste sa mali zálohovať na pevný disk a uložiť kópiu niekde v bezpečí na samostatnom mieste, ale cloud vám umožňuje zálohovať neustále. "
- Urobte: Platte za prémiovú cloudovú bezpečnosť „Majitelia malých podnikov sú si vedomí ceny, ale iné faktory musia získať správnu váhu, “ uviedol O'Connell spoločnosti ADP. „Niektoré veci by mali stáť viac peňazí za vyššiu úroveň služieb a bezpečnosť je jedna z tých vecí. Nerobte len rozhodnutia na základe ceny.“
- Nie: Len podpíšte zmluvu o MSP
„Skontrolujte túto zmluvu, “ uviedol Cobb spoločnosti ESET. „Môžete ukladať alebo zálohovať externe, ale nemôžete zadať externú zodpovednosť. Ak majiteľ SMB tvrdí, že poskytovateľ IT má všetky údaje o zákazníkoch a zamestnancoch - vaše údaje - stále ste zodpovední.“
„Pokiaľ ide nielen o zmluvu, ale o údaje, urobte si prieskum, aby ste zistili, či existujú nejaké bezpečnostné problémy, “ dodal O'Connell spoločnosti ADP. „V prípade SMB je zmluva dobrou súčasťou tejto obrannej línie. Pozrite si pravidlá SLA a prístup k údajom o úrovniach prístupu. Ako dlho si MSP uchovávajú údaje? Čo s tým robia?“
- Nepoužívajte: Nenechávajte nevyužité prvky infraštruktúry MSP „Ak vstúpite do cloudového prostredia, môžete presunúť časť tejto zodpovednosti. Už nie sme v aréne platformy, kde sa musíte obávať, že nebudete mať zamestnancov, aby odpovedali na problém alebo opravili server, “ uviedla spoločnosť Microsoft. Littleton. „To je miesto, kde poskytovateľ služieb môže vstúpiť a zvládnuť to vo vašom mene. Musíte pochopiť, na čo sa zo zmluvného hľadiska dostanete a aké služby ponúka poskytovateľ cloudu.“
2. Viacfaktorové overenie: Len to urobte
„Z osobného aj obchodného hľadiska je MFA niečo, čo môžete urobiť okamžite. Podniky nemajú žiadne ospravedlnenie, aby to neurobili okamžite, “ uviedol Littleton spoločnosti Microsoft. „Je to jednoduché s celým balíkom produktov spoločnosti Microsoft. To isté platí pre spoločnosť Google, Yahoo, pomenujete poskytovateľa e-mailu. Pozrite sa na svoje nastavenia zabezpečenia a ako druhý faktor požiadajte každého zamestnanca, aby zadal číslo svojho mobilného telefónu. Potom, aj keď som útočník a my vám ukradnem vaše heslo, nemôžem ho použiť, pokiaľ ukradnem váš mobilný telefón a nepoznám PIN. ““
3. Kedy zavolať konzultanta pre bezpečnosť IT
„ Budú to veci, ktoré nemôžete urobiť ako majiteľ malej firmy, “ povedal O'Connell spoločnosti ADP. „Pokiaľ ide o veľmi dôležité zmluvy, dostanete sa mimo právneho poradenstva. V prípade ročných a štvrťročných finančných účtov máte účtovníka. To isté platí pre odborné znalosti v oblasti bezpečnosti. Ak potrebujete testovať web, aby ste sa uistili, že je bezpečný z hľadiska webu alebo vykonať hodnotenie rizika, sú to dobre vynaložené peniaze, ak nemáte odborné znalosti na to, aby ste to urobili sami. Neurobujete elektrickú alebo inštalatérsku prácu v budove sami, jedná sa o to, že viete, kedy potrebujete pomoc. ““
4. Bezpečnosť je súčasťou práce každého
„Nemôžete sa spoľahnúť iba na jednu osobu v spoločnosti s 10 osobami; každý musí mať dobré vedomosti o kybernetickej bezpečnosti a o tom, aké riziká sú pre organizáciu, “ uviedol Toth z NIST. „Ak tak neurobia, ich práca by mohla byť ohrozená, ak dôjde k narušeniu a podnik sa nemôže zotaviť.“
„Zabezpečte, aby bola bezpečnosť súčasťou každej osoby, “ doplnil O'Connell spoločnosti ADP. „Osoba, ktorá riadi financie - čo musia robiť každý deň? Čo sa týka fyzickej stránky, kto v noci zamykal dvere? Každý musí poznať komponenty a ako ich úloha zapadá do celkovej bezpečnosti podniku.“
5. Nebuďte slabým článkom dodávateľského reťazca
Ako vysvetlil Kramer spoločnosti SBA, medzi SMB a podnikmi už neexistuje delenie. Malé podniky chcú buď rásť a rozširovať sa, alebo sa zapájajú do podnikového dodávateľského reťazca pre softvér a služby. Problém je v tom, že bezpečnostné politiky SMB nemusia zodpovedať spoločnosti v dodávateľskom reťazci, s ktorou hľadajú partnera.
„Keď SMB získava svoju prvú veľkú zmluvu s veľkou spoločnosťou a žiada, aby ste videli vaše bezpečnostné politiky a program zvyšovania povedomia, nemali by ste sa snažiť skontrolovať všetko z kontrolného zoznamu, “ uviedol Cobb spoločnosti ESET. „Riziko dodávateľského reťazca nahor a nadol je veľkým problémom. Ak SMB interaguje digitálne s dodávateľom, pozrite si ich. Musíte mať zavedené bezpečnostné politiky a školenia, aby sa nestali prekážkou.“
„Žiadny podnik nie je príliš malý na to, aby sa mohol zamerať na počítačovú arénu, najmä z oblasti riadenia dodávateľského reťazca, “ uviedol Littleton spoločnosti Microsoft. „Mnohé porušenia nezačínajú hore; začínajú niekde v dodávateľskom reťazci a útočníci postupujú až k cieľu.“
TIST NIST povedal, že v nasledujúcich dvoch rokoch uvidíte, že vládne agentúry začnú zverejňovať pravidlá prístupu k systémom dodávateľského reťazca. Medzitým povedala, že malé a stredné podniky musia mať zavedený plán.
„Plánovanie je neoceniteľné, aby ste vedeli, čo je skutočne dôležité; jednu vec, ktorú musíte chrániť, a ako bude fungovať vaše podnikanie, ak nebude prístupná, “ uviedol Toth z NIST. „Malé a stredné podniky musia mať zavedené plány, politiky a postupy. Nie je to veľký vládny prístup. Môže to byť také jednoduché ako politika v príručke pre zamestnancov, ktorá hovorí, čo môžu a nemôžu robiť na internete, ako zistiť phishingový útok a kedy otvoriť a neotvoriť odkazy a prílohy. “
6. Zaobchádzajte s e-mailom ako s pohľadnicou, nie s obálkou
„Prvá vec, ktorú treba urobiť ako malú firmu s e-mailom, je premýšľať o tom, čo je v nej. Ak sa chystám prelomiť informácie o spoločnosti, ich e-mail má často všetky dobré veci, “ uviedol Cobb spoločnosti ESET. „Ľudia často nepremýšľajú o tom, čo tam nechávajú. Pozrite sa na hack spoločnosti Sony; ľudia hovorili o e-mailoch veci, ktoré nemali byť. E-mail je pohľadnica, nie zapečatená obálka. Majte na pamäti."
„Je to tiež čoraz viac o schopnosti kontrolovať údaje, “ uviedol Littleton spoločnosti Microsoft. „Možno by stálo za to peniaze použiť šifrovanú e-mailovú službu s filtrovaním prichádzajúcich údajov, ktorá znižuje váš útok. Ak ste v e-maile nechali svoje číslo kreditnej karty, služba by sa opýtala, či to naozaj chcete poslať, a potom automaticky zašifrovať nie iba číslo, ale celý e-mail. S postupujúcim odvetvím sa tieto služby stávajú rozumnejšími a bežnejšími. ““
7. Vždy hlásite incidenty
Kramer spoločnosti SBA vysvetlil, že keď je malá firma porušená alebo zasiahnutá podvodom typu phishing alebo ransomware, musí vedieť, komu zavolať. Cobb spoločnosti ESET uviedol, že ak to malé podniky nehlásia polícii zo strachu, že orgány činné v trestnom konaní nedisponujú prostriedkami na vyšetrovanie, tento cyklus sa zachová.
„Máme nešťastný cyklus, v ktorom orgány činné v trestnom konaní dostávajú finančné prostriedky na základe hlásených trestných činov, ale ľudia nehlásia trestné činy, pretože si myslia, že polícia nemá zdroje, “ uviedol Cobb spoločnosti ESET. Ak sa nikto nehlási, polícia nebude mať nikdy dostatok prostriedkov na vybavenie týchto zdrojov na riešenie týchto problémov v oblasti počítačovej kriminality. ““
„Väčšina obcí má jednotky v oblasti počítačovej kriminality a bude na ne reagovať, “ dodal NIST's Toth.
8. Majte zavedený plán reakcie na incidenty
„Nesnažíte sa zapnúť si bezpečnostný pás uprostred nehody, “ povedal Littleton spoločnosti Microsoft. „Potrebujete plán, ako budete reagovať, než dôjde k porušeniu.“
„Nie ste v tom úplne sám, “ povedal Cobb spoločnosti ESET. „Bezpečnostné služby, ktoré si kúpite z regálu, sa dodávajú so zvýšenou ochranou v cloude alebo pri prístupe k dodávateľskému reťazcu. Môžu poskytovať detekčné a preventívne služby na základnej úrovni. Pri zostavovaní plánu sa uistite, že neopúšťate bezpečnostné služby. na stole, ktorý ponúka váš MSP alebo bezpečnostná služba. ““
9. Nenechávajte voľné konce
„Jednou z problémových oblastí, ktorú vidíme - ak a kedy zamestnanec odíde alebo je prepustený - je ich prístup do systému okamžite neskončený, “ uviedol Cobb spoločnosti ESET. „Malé podniky pracujú s ľuďmi, ktorým dôverujú, as mnohými ľuďmi, ktorí prichádzajú a odchádzajú. Niekedy nejdú za najšťastnejších okolností. Ak bývalý zamestnanec so zášťou má stále prístup alebo dokonca má povolenú multifaktorovú autentifikáciu, to je veľký problém s dôvernými informáciami, ktorý sa dá bolestivo ľahko vyriešiť. ““
10. Vládne zdroje a školenie
Vláda podniká významné kroky na riešenie kybernetickej bezpečnosti. Biely dom vydal začiatkom tohto roka rámec pre kybernetickú bezpečnosť a návrh rozpočtu prezidenta Obamu na rok 2017 sa snaží o 35% zvýšenie financovania (na 19 miliárd dolárov) na riešenie útokov na kybernetickú bezpečnosť. Kramer spoločnosti SBA a spoločnosť NIST's Toth poukázali na bezplatné vládne zdroje, ako napríklad celú stránku zdrojov SBA zameranú na kybernetickú bezpečnosť pre malé a stredné podniky, vrátane tipov a nástrojov týkajúcich sa kybernetickej bezpečnosti, zbierky kurzov, školení a webinárov.
Niektoré z najužitočnejších zdrojov sú:
- 10 najdôležitejších tipov týkajúcich sa kybernetickej bezpečnosti SBA
- Online kurz SBA: Kybernetická bezpečnosť pre malé podniky
- Nástroj na hodnotenie kybernetickej odolnosti (CRR)
- Small Business Cyber Planner
- SBA, NIST a spoločné semináre malých firiem FBI
- Kanál YouTube SBA
- Centrum zabezpečenia počítača spoločnosti NIST
- Certifikačné a vzdelávacie programy spoločnosti COMPTIA na učenie sa bezpečnostných protokolov MSP
