Рон Тейшейра
Протягом останніх двох років було зафіксовано ряд важливих справ про порушення даних із залученням великих корпорацій. Хоча це може дати уявлення про те, що тільки великі корпорації орієнтовані на хакерів і злодіїв, реальність полягає в тому, що хакери все частіше орієнтуються на малі підприємства, оскільки вони, як правило, не мають ресурсів або ноу-хау, які роблять великі корпорації.
Однак це не означає, що малі підприємства повинні витрачати велику суму грошей і ресурсів, щоб захистити себе від останніх загроз. Насправді, згідно з недавнім Звіт про загрозу Symantec, 82% даних, які були втрачені або вкрадені, можна було б уникнути, якби бізнес виконав простий план кібербезпеки.
Для того, щоб почати розробку плану кібербезпеки, ви повинні розуміти інтернет-загрози і те, як захист вашого бізнесу від цих загроз безпосередньо впливає на вашу нижню лінію. В результаті, Національний Альянс з Кібербезпеки, партнерами якого є Департамент внутрішньої безпеки, Федеральне бюро розслідувань, Управління малого бізнесу, Національний інститут стандартів і технологій, Symantec, Microsoft, CA, McAfee, AOL і RSA 5 загроз, з якими малий бізнес може зіткнутися в Інтернеті, ділові випадки про те, як ці загрози можуть завдати вам шкоди, і практичні заходи, які можна вжити, щоб уникнути цих загроз.
Ось короткий виклад п'яти загроз:
- # 1: Шкідливий код. Бомба програмного забезпечення північно-східного виробництва знищила всі програми компанії та генератори коду. Згодом компанія втратила мільйони доларів, була вибита зі своєї позиції в галузі і зрештою довелося звільнити 80 робітників. Щоб переконатися, що це не відбудеться з вами, встановіть та використовуйте антивірусні програми, антишпигунські програми та брандмауери на всіх комп’ютерах вашого підприємства. Крім того, переконайтеся, що все комп'ютерне програмне забезпечення є актуальним і містить останні оновлення (тобто операційну систему, антивірусне програмне забезпечення, антишпигунське програмне забезпечення, анти-рекламне, брандмауер та програмне забезпечення автоматизації офісу).
- # 2: Вкрадений / втрачений ноутбук або мобільний пристрій. У минулому році з його будинку викрали ноутбук співробітника відділу ветеранів. Ноутбук містив 26,5 мільйонів медичних історій ветеранів. Зрештою, ноутбук був відновлений і дані не використовувалися; однак, УА повинна була повідомити про 26,5 мільйонів ветеранів про інцидент, що призвело до слухань у Конгресі та громадської перевірки. Щоб переконатися, що це не відбудеться, захистіть дані своїх клієнтів під час перенесення їх у будь-якому місці портативного пристрою, зашифрувавши всі дані, що знаходяться в ньому. Програми шифрування кодують дані або роблять їх нечитабельними для аутсайдерів, поки ви не введете пароль або ключ шифрування.
- # 3: Фішинг списом. Виробник велосипедів середнього розміру покладався на електронну пошту для ведення бізнесу. У звичайний робочий день компанія отримала до 50 тисяч спаму та фішингових повідомлень. В одному випадку працівник отримав електронну пошту, яка виглядала так, як вона надходила з ІТ-департаменту, і попросила працівника підтвердити «пароль адміністратора». На щастя для компанії, коли співробітник звернувся до менеджера лінії пароль адміністратора »він вивчив далі і зрозумів, що електронна пошта була афера. Щоб переконатися, що це не відбудеться з вами, доручіть всім співробітникам звернутися до свого менеджера або просто підніміть телефон і зверніться до особи, яка надіслала електронний лист безпосередньо. Важливо, щоб ваші співробітники були обізнані про те, що таке атака фішинг-списами, і будьте обережні у будь-якому місці, яке виглядає підозріло.
- # 4: Незабезпечені мережі бездротового Інтернету. Згідно з новинними повідомленнями, хакери зірвали «найбільший прорив у даних» через бездротову мережу. Глобальна мережа роздрібної торгівлі мала понад 47 мільйонів клієнтів фінансової інформації, викраденої хакерами, які зламували через бездротову мережу, яка була забезпечена найнижчою формою шифрування, доступною для компанії. В даний час, це порушення безпеки коштувало компанії 17 мільйонів доларів, зокрема 12 мільйонів доларів в одному кварталі, або 3 центи на акцію. Щоб переконатися, що це не відбудеться з вами, якщо ви налаштуєте бездротову мережу, переконайтеся, що змінено пароль за промовчанням і переконайтеся, що зашифровано бездротову мережу за допомогою WPA (захищений доступ Wi-Fi).
- # 5: Інсайдерська / незадоволена загроза працівникам. Колишній працівник компанії, що займається польовими операціями для великих автомобільних компаній, через два тижні після звільнення з посади звільнив критичну інформацію про зайнятість. Інцидент спричинив збитки в розмірі близько 34 тисяч доларів. Щоб переконатися, що це не відбудеться з вами, поділіть важливі функції та обов'язки між співробітниками в організації, обмеживши можливість того, щоб одна особа могла здійснювати саботаж або шахрайство без допомоги інших працівників організації.
Прочитайте нижче, щоб отримати додаткову інформацію та детальну інформацію про захист комп'ютерних систем -
1. Шкідливий код (шпигунське програмне забезпечення / віруси / троянський кінь / черв'яки)
Згідно з дослідженням ФБР з комп'ютерних злочинів 2006 року, програми зловмисного програмного забезпечення включали найбільшу кількість повідомлень про кібератаки, що призвело до втрати в середньому $ 69,125 за інцидент. Шкідливе програмне забезпечення є комп'ютерними програмами, таємно встановленими на комп'ютері вашого підприємства, і може призвести до пошкодження комп'ютерної мережі, наприклад, до видалення критичних файлів, або можуть бути використані для викрадення паролів або розблокування програмного забезпечення безпеки, щоб хакери могли вкрасти інформацію про клієнтів або співробітників. У більшості випадків ці програми використовуються злочинцями за фінансову вигоду або через здирство або крадіжку.
Приклад:
Північно-східна виробнича фірма захопила контракти на суму кілька мільйонів доларів для виготовлення вимірювальних приладів для приладів NASA та ВМС США. Проте, одного ранку працівники виявилися не в змозі ввійти в операційну систему, замість цього отримавши повідомлення про те, що система "перебуває в ремонті". Незабаром після цього сервер компанії зірвався, усунувши всі інструменти та виробничі програми підприємства. Коли менеджер пішов, щоб отримати назад стрічки, він знайшов, що вони пропали, і окремі робочі станції також були знищені. Фінансовий директор компанії показав, що бомба програмного забезпечення знищила всі програми та генератори коду, що дозволило фірмі налаштувати свою продукцію і, таким чином, знизити витрати. Компанія згодом втратила мільйони доларів, була витіснена з своєї позиції в галузі, і з часом довелося звільнити 80 робітників. Компанія може заспокоїтися в тому, що винуватця в кінцевому підсумку заарештували і засудили.
Поради:
- Встановлюйте та використовуйте антивірусні програми, антишпигунські програми та брандмауери на всіх комп'ютерах вашого бізнесу.
- Переконайтеся, що комп'ютери захищені брандмауером; Брандмауери можуть бути окремими приладами, вбудованими в бездротові системи, або програмним брандмауером, який поставляється з багатьма комерційними люксами безпеки.
- Крім того, переконайтеся, що все комп'ютерне програмне забезпечення є актуальним і містить останні оновлення (тобто операційну систему, антивірусне програмне забезпечення, антишпигунське програмне забезпечення, анти-рекламне, брандмауер та програмне забезпечення автоматизації офісу).
2. Вкрадений / втрачений ноутбук або мобільний пристрій
Вірте чи ні, вкрадені або втрачені ноутбуки є одним з найбільш поширених способів втрати важливих даних. Згідно з дослідженням злочинності ФБР 2006 року (PDF), викрадений або втрачений ноутбук зазвичай призвів до середньої втрати $ 30,570.Проте інцидент високого профілю або інцидент, який вимагає від компанії контактувати з усіма своїми клієнтами, оскільки їхні фінансові або особисті дані могли бути втрачені або вкрадені, може призвести до набагато більших втрат через втрату довіри споживачів, пошкодження репутації та навіть юридична відповідальність.
Приклад:
У минулому році співробітник відділу ветеранів ветеранів взяв будинок для ноутбуків, який містив 26,5 мільйонів медичних історій ветеранів. Поки співробітник не був вдома, вторгся вторгся і викрав ноутбук, що містить дані ветеранів. Зрештою, ноутбук був відновлений і дані не використовувалися; однак, УА повинна була повідомити про 26,5 мільйонів ветеранів про інцидент, що призвело до слухань у Конгресі та громадської перевірки. Це явище не обмежується лише урядом, в 2006 році було проведено ряд корпоративних справ, пов'язаних з втратою або викраденням ноутбуків, які призвели до порушення даних. З автомобіля було викрадено ноутбук, що містить 250 000 клієнтів Ameriprise. У системі «Шпитальна лікарня» було вкрадено ноутбук, який містив тисячі медичних карт пацієнтів.
Поради:
- Захистіть дані ваших клієнтів під час транспортування їх у будь-якому місці портативного пристрою, шифруючи всі дані, які знаходяться в ньому. Програми шифрування кодують дані або роблять їх нечитабельними для аутсайдерів, поки ви не введете пароль або ключ шифрування. Якщо ноутбук з конфіденційними даними вкрадений або втрачено, але дані зашифровані, малоймовірно, що хтось зможе читати дані. Шифрування - це ваша остання лінія захисту, якщо дані втрачені або вкрадені. Деякі програми шифрування вбудовані в популярне програмне забезпечення для фінансів і баз даних. Просто перевірте інструкцію власника програмного забезпечення, щоб дізнатися, чи доступна ця функція, і як її ввімкнути. У деяких випадках може знадобитися додаткова програма для належного шифрування конфіденційних даних.
3. Фішинг у списі
Фішинг списом описує будь-яку високо цілеспрямовану атаку фішингу. Фішери копії надсилають електронну пошту, яка є справжньою для всіх співробітників або членів певної компанії, урядового агентства, організації або групи. Повідомлення може виглядати так, як він надходить від роботодавця, або від колеги, який може надіслати повідомлення електронної пошти кожному в компанії, наприклад, керівника людських ресурсів або особи, яка керує комп'ютерними системами, і може включати запити на імена користувачів або паролі.
Правда полягає в тому, що інформація про відправника електронної пошти була підробленою або "підробленою". Тоді як традиційні фішинг-шахрайства розраховані на крадіжку інформації від фізичних осіб, робота з підробки фішинг-копій дозволяє отримати доступ до всієї комп'ютерної системи компанії.
Якщо працівник відповідає ім'ям користувача або паролем, або якщо ви натискаєте посилання або відкриваєте вкладення в електронній пошті, що з'являється, або на веб-сайті, вони можуть поставити ваш бізнес або організацію під загрозу.
Приклад:
Виробник велосипедів середнього розміру, який виробляв велосипеди, які використовувалися у відомих гонках, покладався на електронну пошту для ведення бізнесу. У звичайний робочий день компанія отримала до 50 тисяч спаму та фішингових повідомлень. В результаті, компанія встановила численні спам-фільтри в спробі захистити співробітників від шахрайських листів. Тим не менш, багато шахрайських листів все ще проходять через співробітників. В одному випадку працівник отримав електронну пошту, яка виглядала так, як вона надходила з ІТ-департаменту, і попросила працівника підтвердити «пароль адміністратора». На щастя для компанії, коли співробітник звернувся до менеджера лінії пароль адміністратора »він вивчив далі і зрозумів, що електронна пошта була афера. Незважаючи на те, що цей приклад не призвів до фінансових втрат, його можна було б легко мати і є загальною проблемою для всіх підприємств.
Поради:
- Співробітники ніколи не повинні відповідати на спам або спливаючі повідомлення, які стверджують, що вони належать до бізнесу або організації, з якими ви можете мати справу, наприклад, постачальник послуг Інтернету (ISP), банк, послуга онлайн оплати або навіть державне агентство. Законні компанії не будуть просити конфіденційної інформації електронною поштою або посиланням.
- Крім того, якщо працівник отримує електронний лист, який виглядає так, як він від іншого співробітника, і запитує пароль або будь-яку інформацію про обліковий запис, вони не повинні відповідати на нього або надавати будь-яку конфіденційну інформацію електронною поштою. Натомість доручіть співробітникові звернутися до свого менеджера або просто підніміть телефон і зверніться до особи, яка надіслала електронний лист безпосередньо.
- Важливо, щоб ваші співробітники були обізнані про те, що таке атака фішинг-списами, і будьте обережні у будь-якому місці, яке виглядає підозріло. Найкращий спосіб уникнути того, щоб стати жертвою атаки фішинг-копінгом, - дозволити всім знати, що це відбувається, перш ніж хто-небудь втратить особисту інформацію.
4. Незахищені мережі бездротового Інтернету
Споживачі та підприємства швидко впроваджують та впроваджують бездротові мережі Інтернет. Згідно з інформаційним дослідженням, проникнення бездротових мереж досягне 80% до 2008 року. Хоча бездротові інтернет-мережі надають підприємствам можливість упорядкувати свої мережі та побудувати мережу з дуже невеликою кількістю інфраструктури або дротів, компаніям необхідно вирішувати ризики безпеки використання бездротових мереж Інтернету. Хакери і шахраї можуть отримати доступ до комп'ютерів підприємств через відкриту бездротову мережу Інтернет, і, як наслідок, вони можуть вкрасти інформацію про клієнтів і навіть інформацію про власність. На жаль, багато підприємств не вживають необхідних заходів для захисту своїх бездротових мереж. За даними дослідницького інституту Symantec / Small Business 2005, 60% малих підприємств мають відкриті бездротові мережі. Крім того, багато інших малих підприємств можуть не використовувати достатню безпеку для захисту своїх систем. Неналежне забезпечення бездротової мережі подібне до того, як двері бізнесу залишаються широко відкритими вночі.
Приклад:
Згідно з новинними повідомленнями, хакери зірвали «найбільший прорив у даних» через бездротову мережу. Глобальна мережа роздрібної торгівлі мала понад 47 мільйонів клієнтів фінансової інформації, викраденої хакерами, які зламували через бездротову мережу, яка була забезпечена найнижчою формою шифрування, доступною для компанії. У 2005 році два хакери нібито припарковувалися біля магазину і використовували бездротову антену для розкодування даних між ручними сканерами платежів, дозволяючи їм пробитися в базу даних головної компанії і погасити за допомогою кредитних та дебетових карт майже 47 мільйонів клієнтів. Вважається, що хакери мали доступ до бази даних кредитних карток більше двох років, не будучи виявленими. Замість того, щоб використовувати найсучасніші програми шифрування для забезпечення бездротової мережі - Wi-Fi Protected Access (WPA), роздрібний мережа використовувала стару форму шифрування під назвою Wireless Equivalent Privacy (WEP), яка, на думку деяких експертів, може бути легко зламали за 60 секунд. В даний час, це порушення безпеки коштувало компанії 17 мільйонів доларів, зокрема 12 мільйонів доларів в одному кварталі, або 3 центи на акцію.
Поради:
- Під час налаштування бездротової мережі переконайтеся, що змінено пароль за замовчуванням. Більшість мережевих пристроїв, включаючи точки бездротового доступу, попередньо налаштовані за замовчуванням адміністративними паролями для спрощення налаштування. Ці паролі за промовчанням можна легко знайти в Інтернеті, тому вони не надають жодного захисту. Зміна паролів за замовчуванням ускладнює зловмисникам контроль над пристроєм.
- Крім того, переконайтеся, що ви шифруєте бездротову мережу за допомогою шифрування WPA. WEP (Wired Equivalent Privacy) та WPA (Wi-Fi Protected Access) шифрують інформацію про бездротові пристрої. Тим не менш, WEP має ряд проблем безпеки, які роблять його менш ефективним, ніж WPA, так що ви повинні спеціально шукати передач, що підтримує шифрування через WPA. Шифрування даних не дозволить переглядати ваші дані користувачам, які могли б відстежувати бездротовий трафік мережі.
5. Інсайдерська / незадоволена загроза працівникам
Невдоволений співробітник або інсайдер може бути більш небезпечним, ніж найскладніший хакер в Інтернеті. Залежно від політики безпеки вашого бізнесу та керування паролем, інсайдери можуть мати прямий доступ до критичних даних, і в результаті можна легко його викрасти і продати своєму конкурентові, або навіть видалити все це, завдаючи непоправної шкоди. Є кроки та заходи, які можна вжити для запобігання доступу інсайдера або незадоволеного співробітника до ключової інформації та пошкодження комп'ютерних мереж.
Приклад:
Колишній працівник компанії, що займається польовими операціями для великих автомобільних компаній, через два тижні після звільнення з посади звільнив критичну інформацію про зайнятість. Інцидент спричинив збитки в розмірі близько 34 тисяч доларів. Згідно з повідомленнями, працівник був засмучений тим, що його випустила компанія раніше, ніж він очікував. Стверджується, що брандмауер компанії був скомпрометований, а злочинець увірвався в базу даних співробітників і видалив усі записи. Заяви компанії свідчать, що незадоволений колишній співробітник був одним з трьох людей, які знали інформацію про вхід і пароль для брандмауера, який захищав базу даних співробітників.
Поради:
Існує декілька способів, якими ваша компанія може захистити себе від інсайдерських або незадоволених загроз працівників:
- Розділіть важливі функції та обов'язки між працівниками всередині організації, обмеживши можливість того, щоб одна особа могла здійснювати саботаж або шахрайство без допомоги інших працівників організації.
- Реалізувати жорсткі правила паролів і автентифікації. Переконайтеся, що кожен співробітник використовує паролі, що містять літери та цифри, і не використовуйте імена або слова.
- Крім того, обов'язково змінюйте паролі кожні 90 днів, а головне, видаляйте обліковий запис працівника або змінюйте паролі на критичні системи після того, як співробітник звільнить вашу компанію. Це ускладнює невдоволені працівники пошкодження ваших систем після того, як вони залишилися.
- Виконайте належну ретельність перед тим, як найняти когось. Робіть перевірку фону, освітні чеки тощо, щоб переконатися, що ви наймаєте хороших людей.
Про автора: Як виконавчий директор Національного альянсу з питань кібербезпеки (РНБО), Рон Тейшейра відповідає за загальне управління програмами поінформованості про кібербезпеку та національні освітні зусилля. Teixeira тісно співпрацює з різними урядовими установами, корпораціями та неприбутковими організаціями, щоб підвищити рівень обізнаності з питань безпеки в Інтернеті та розширити можливості домашніх користувачів, малих підприємств та освітнього співтовариства за допомогою інструментів та кращих практик, спрямованих на забезпечення безпечного та осмисленого досвіду Інтернету.
9 Коментарі ▼
