Sadržaj:
- Zauzimanje ispravnih stavova
- Donesite svoj uređaj ... ili Donesite svoje kršenje podataka?
- SMB-ovi mogu biti iza
U nedavnom izvješću McAfee je 2014. godinu proglasio "godinom kršenja zakona", a lako je vidjeti zašto. Nekoliko visokih tvrtki i korporacija pretrpjelo je osakaćene kršenja podataka od siječnja, od više od 50 milijuna ljudi u Home Depotu do 70 milijuna plus u JPMorgan-u. U međuvremenu, Staples, PF Chang's, Goodwill i ubojica drugih postali su plijen cyber kriminala.
Prema indeksu razine kršenja SafeNeta za treći kvartal 2014. godine, zabilježeno je 320 kršenja podataka između srpnja i rujna, od kojih je 46% sudjelovalo u krađi identiteta.
Bubanje pod površinom ovih glavnih obavijesti o kršenju buke je kršenja podataka nižeg profila koja se događaju svaki tjedan, a za koje je manje vjerojatno da ćete čuti. Cilj poput Home Depota pruža priliku za golemu plaću, ali također je i veći rizik i uključuje veliko planiranje posla. Dakle, nije iznenađujuće vidjeti kako neki hakeri traže malo voće poput malih poduzeća (SMBs). Oni će rezultirati manjim platama, ali mogu biti i značajni ako se nekoliko povlači zaredom.
Sve to vrijeme cyber kriminalci koriste nove alate za ciljanje SMB-a, kaže Trend Micro u jednom od svojih najnovijih izvještaja o keyloggerima, koji hakeri mogu upotrijebiti za odbacivanje podataka tvrtke.
"SMB-ovi imaju taj lažni osjećaj sigurnosti, misleći da im se takav napad nikad neće dogoditi", kaže Gary Davis, glavni evanđelist sigurnosti potrošača u McAfee-u. "Sigurnosne prijetnje ne razlikuju organizacijsku veličinu, a za mala i srednja poduzeća čiji zaposlenici koriste više uređaja sve je važnije imati sigurnosna rješenja izvan klase."
Ne morate kopati predaleko da biste pronašli primjere kršenja malih i srednje veličine. Hotel Houstonian u Houstonu u Teksasu vidio je podatke o kreditnim karticama 10 000 kupaca izložene tijekom kršenja sigurnosne zaštite početkom ove godine. U manjem obimu, ali ne manje ozbiljnoj, trgovina vanjske sportske opreme Backcountry Gear sa sjedištem u Oregonu, koja isporučuje robu diljem SAD-a, otkrila je u svom sustavu u srpnju 2014. zlonamjerni softver koji možda ima kompromitirane podatke o kupcima.
"Problem je u tome što toliko mnogo tih tvrtki sigurnost ne smatra nečim što trebaju učiniti, već radije što moraju učiniti", kaže Marcus Ranum, glavni sigurnosni direktor Tenable Network Securitya. "Budući da su iskreni, oni često u najboljem slučaju prihvaćaju minimalni pristup i daju vanjske mogućnosti te pokušavaju odgoditi odgovornost."
Zauzimanje ispravnih stavova
Sigurnost najbolje funkcionira ako se tretira kao "osnovni poslovni proces", navodi SMB Security Guide, web mjesto koje savjetuje mala poduzeća o najboljim praksama sigurnosti.
Potrebna je neka osnovna temeljna obuka za bilo koju malu tvrtku u zaštiti svoje digitalne imovine. Zaposlenici moraju biti osposobljeni za korištenje jedinstvenih i teških lozinki, rekao je Davis, a vlasnici tvrtki moraju znati njihove podatke iznutra i iznutra, gdje se sve pohranjuje i tko im točno ima pristup. Imati otvorenu knjigu podataka među zaposlenicima vjerojatno će dovesti do curenja podataka, bilo namjernog ili slučajnog.
S druge strane, vlasnici tvrtki moraju osigurati da su i njihove aplikacije i operativni sustavi ažurirani, ali cyber sigurnost je višesatna i može imati i fizičku prisutnost. Tko ima pristup, primjerice, u prostorijama u kojima se pohranjuju tvrdi diskovi?
"Ne dopustite strancima da lutaju hodnicima i ograničavaju fizički pristup zaključanim vratima i upravljanim sustavima za ulazak, " kaže Davis. "Budite sigurni da provedete temeljite provjere posla i pre nego što zaposlite nove zaposlenike."
Donesite svoj uređaj … ili Donesite svoje kršenje podataka?
Experian's 2014/2015 Vodič za odgovor na kršenje podataka i Institut Ponemon čine razlog za razvoj rigidne politike kršenja odgovora. Učinkovite politike diljem svijeta pomoći će bilo kojem poslu da se bolje suoči sa svojim kršenjima podataka, posebno u slučaju tvrtki s BYOD praksama, koje stvaraju sve više načina da se kršenja dogode.
BYOD u uredu postaje neizbježan, kaže sigurnosni savjetnik za F-Secure Sean Sullivan.
"Sa stajališta korisnika, BYOD je sjajna ideja, ali sa sigurnosnog stajališta to je užasna ideja", kaže on. "Igrate lutriju za loše sreće; izgledi su mali, ali prva nagrada je značajan gubitak novca."
Uređaj pripada pojedincu i to postavlja pitanja oko odgovornosti, zbog čega je osmišljavanje politike obložene željezom od vitalnog značaja i mora nadopuniti obuku vaših zaposlenika u sigurnosnim protokolima.
"Preporučujemo da organizacije daju svojim zaposlenicima dodatnu obuku oko fizičkih uređaja, " dodaje Sullivan. "Ponudivši zaposlenima veliko korisničko iskustvo, manje su vjerojatne da će se one smjernice tvrtke koje se odnose na sigurnost zanemariti."
SMB-ovi mogu biti iza
Mala poduzeća potiču se na proaktivan pristup sigurnosti i prihvaćanje mentaliteta velikih tvrtki, jer nitko drugi neće paziti na vas.
"U stvarnosti, sigurnosna industrija je iznevjerila male i srednje tvrtke", kaže Paul Lipman, izvršni direktor iSheriffa, tvrtke koja se bavi zaštitom od oblaka sa sjedištem iz Redwood Cityja u Kaliforniji. SMB-ovi se mogu izgubiti u razgovoru i ne dobivaju istu pažnju kad je riječ o sigurnosti, često ih ostavljajući da se brinu za sebe.
MSP-ovi možda nemaju toliko toga za ponuditi cyber-kriminala kao Home Depot ili Target, ali tvrtke i dalje imaju puno toga za izgubiti.
"nisu zainteresirani za krađu tajni ili intelektualnog vlasništva poput hakera koji ciljaju veća poduzeća", kaže Lipman, ali tamo gdje postoji posao, tu je novca, a cyber-kriminalci će ciljati sve za što znaju da mogu prodrijeti.
Neka poduzeća postaju sve pametnija i pametnija, ali ključni je dio toga što mala i srednja poduzeća ne mogu izdvojiti vrijeme za to. Tehnologija - i cyber prijetnje - razvijaju se zapanjujućim tempom.
Izvještaj vlasnika Bank of America za malo gospodarstvo kaže da je 80% malih poduzeća u svoj posao ugradilo "neku vrstu digitalne metode", no to može uključivati socijalne medije kao i sigurnost. Koliko se pažnje posvećuje jačanju sigurnosti koliko se pridaje širenju dosega na društvenim medijima?
Sigurnosna tvrtka BitSight u studenom 2014. objavila je novo istraživanje koje potvrđuje mnoge brige oko sigurnosti poduzeća, posebno maloprodaje, i napominje da je sigurnosni integritet u tim poslovima smanjen.
"Iako je ohrabrujuće da je većina prekršenih trgovaca poboljšala svoju sigurnosnu učinkovitost, ima još posla koji treba obaviti, posebno u području upravljanja rizikom od dobavljača", rekao je CTO Stephen Boyer prilikom najavljivanja istraživanja.
Postavlja nekoliko pitanja. Ako ste vlasnik male tvrtke, jeste li revidirali sigurnosne postupke vaše tvrtke i procijenili gdje sigurnost stoji na vašoj hijerarhiji? Kako se cyber prijetnje razvijaju, male tvrtke morat će učiniti isto.