Видео: unboxing turtles slime surprise toys learn colors (Септември 2024)
Националната седмица за малкия бизнес е в ход и тържествата не отнеха много време, за да се справят с един от най-ярките и все по-актуални проблеми за малките и средни предприятия (SMBs): киберсигурността. Администрацията за малък бизнес (SBA) е правителствената агенция на САЩ, посветена на предоставянето на конкретна помощ, обучение и препоръки, които малките предприятия могат да приложат на практика веднага при ежедневната си дейност. За тази цел, а не просто да предлага тенденции в сигурността на пайети в небето, днешният панел за киберсигурност на SBA даде на SMB конкретни съвети, ресурси и стъпки, които могат да предприемат за намаляване на уязвимостите в сигурността и създаване на цялостна стратегия за сигурност.
Заместник-администраторът на SBA Дъг Крамер модерира групата от експерти по сигурността, докато те обсъждаха най-големите рискове за сигурността, пред които са изправени малките предприятия, и най-важните стъпки, които могат да предприемат, за да защитят своята инфраструктура и данни, базирани на облаци или физически. Панелът включва Бил О'Конъл, вицепрезидент на Global Trust Assurance в ADP; Стивън Коб, старши изследовател по сигурността в ESET Северна Америка; Мат Литълтън, регионален директор на Източна служба за киберсигурност и инфраструктура Azure в Microsoft; и Патриша (Пат) Тот, надзорен компютърен специалист в отдел „Компютърна сигурност“ на Националния институт за стандарти и технологии (NIST).
Участниците в дискусията обсъдиха въпроси, свързани с киберсигурността, вариращи от фишинг, откупуващ софтуер и как да се справят с нарушенията до това как малките предприятия трябва да подходят към многофакторна автентификация (MFA), обучение и политики за сигурност на служителите, какво да търсят в договора за управляван доставчик на услуги (MSP), и кога да се обадите на консултант по ИТ сигурност.
Според Крамер не става въпрос само за кредитна карта на служители и клиенти и банкова информация, но бизнесът с данни за интелектуалната собственост се прибира навсякъде - от имейл до облачно съхранение и атакуващите повърхности, които биха могли да превърнат малкия бизнес в слабата връзка и лесната цел в веригата на доставки. Според SBA, каза Крамер, почти половината от всички малки предприятия са били жертва на известна степен от киберпрестъпления, а средната цена на атаката е приблизително 21 000 долара.
"Всеки, който започва малък бизнес, работи толкова усилено, колкото е възможно, без допълнително време или пари, за да се справи с предизвикателството за киберсигурност, което може да струва повече от очакваното и да означава живот или смърт за малък бизнес", отбеляза Kramer на SBA като панел започна. "Заплахата от киберпроникване и кражба е много реална. Малките предприятия измерват активите и инвентарите по различни начини, но те седят на съкровищница от информация."
1. Облачна сигурност: Правете и не трябва
Поради икономически ефективни и удобни причини, всички МСП трябва да обмислят извършване на преход към облака, но преходът трябва да се извърши внимателно. Участниците в дискусията обсъдиха някои от най-важните съображения и препятствия.
- Направете: Постепенно архивиране в облак "Облакът има много ползи и рискове, но едно нещо, което трябва да правят всички малки и средни предприятия, е архивиране", заяви Cobb на ESET. „Текущото архивиране на всички файлове е най-добрата защита срещу отвличане на софтуер и критична част от позата и защитата ви за киберсигурност. Все още трябва да архивирате на твърд диск и да съхранявате копие на сигурно място на отделно място, но облакът ви позволява да архивирате постоянно. "
- Направете: Платете за Premium Cloud Security "Собствениците на малкия бизнес са съобразени с цените, но други фактори трябва да получат правилното тегло", заяви O'Connell от ADP. „Някои неща трябва да струват повече пари за по-високо ниво на обслужване и сигурността е едно от тези неща. Не просто вземайте решение въз основа на цената.“
- Не: Просто подпишете договора за MSP
"Проверете този договор", каза Cobb на ESET. „Можете да възлагате на външни източници за съхранение или архивиране, но не можете да възлагате отговорност. Ако собственикът на SMB каже, че доставчикът на информационни технологии има всички данни за клиенти и служители - вашите данни - вие все още носите отговорност.“
"Когато става въпрос не само за договора, а за данните, направете проучване, за да видите дали има проблеми със сигурността", добави O'Connell от ADP. "За SMB договорът е добра част от тази линия на отбрана. Проверете SLAs и политиките за данни от ниво на достъп. Колко дълго MSP съхраняват данните? Какво правят с тях?"
- Не: Не използвайте функции на инфраструктурата на MSP "Ако стъпите в облачна среда, можете да прехвърлите част от тази отговорност. Вече не сме на арена на платформа, където трябва да се притеснявате, че няма да има персонал, който да отговори на проблем или да свърже сървър", заявиха от Microsoft Литълтън. „Точно там доставчикът на услуги може да се намеси и да се справи с това от ваше име. Трябва да разберете какво влизате от гледна точка на договора и какви услуги предлага облачният доставчик.“
2. Многофакторна автентификация: Просто го направете
"От лична и бизнес гледна точка, МВнР е нещо, което можете да направите веднага. Бизнесът няма извинение да не направи това веднага", заяви Littleton на Microsoft. "Това е просто с целия продуктов пакет на Microsoft; същото важи и за Google, Yahoo, вие посочвате доставчика на имейл. Вижте настройките си за сигурност и изисквайте всеки служител да въведе номера на мобилния си телефон като втори фактор. Тогава, дори и да съм нападател и открадна паролата ви, не мога да я използвам, освен ако не открадна мобилния ви телефон и не знам ПИН кода."
3. Кога да се обадите на консултант по ИТ сигурност
" Ще има неща, които не можете да направите сами като собственик на малък бизнес", заяви O'Connell от ADP. „За много важни договори получавате външни правни съвети. За годишни и тримесечни финансови отчети имате счетоводител. Същото се отнася и за експертиза по сигурността. Когато трябва да тествате сайт, за да сте сигурни, че е безопасен в мрежата, или да извършите оценка на риска, парите са добре изразходвани, ако нямате опит да се справите сами. Вие сами не се занимавате с електричество или водопровод в сградата; това е да знаете кога се нуждаете от помощ."
4. Сигурността е част от работата на всеки
„Не можете просто да разчитате на един човек в компания от 10 човека; всеки трябва да има добро разбиране на киберсигурността и какви са рисковете за организацията“, заяви Тот от NIST. "Ако не го направят, работата им може да бъде застрашена, ако има нарушение и бизнесът не може да се възстанови."
"Направете сигурността част от работата на всеки човек", добави O'Connell от ADP. "Човекът, който управлява финансови средства - какво трябва да прави всеки ден? От физическа страна, кой е този, който заключва вратата през нощта? Всеки трябва да знае компонентите и как ролята им се вписва в общата сигурност на бизнеса."
5. Не бъдете слабата връзка на веригата за доставки
Както обясни Крамер от SBA, вече няма разделение между малки и средни предприятия и предприятия. Малките предприятия или искат да се разрастват и мащабират, или се включват в корпоративна верига за доставки на софтуер и услуги. Проблемът е, че политиките за сигурност на SMB може да не са в съответствие с компания от веригата за доставки, с която те искат да си партнират.
„Когато един SMB сключва първия си голям договор с голяма компания и те искат да видят политиките ви за сигурност и програмата за повишаване на осведомеността, не бива да се бъркате, за да проверите всичко от контролния списък“, коментира Cobb на ESET. "Рискът на веригата за доставки е сериозен проблем. Ако SMB взаимодейства цифрово с доставчик, проверете ги. Трябва да имате политики за сигурност и обучение, за да не се превърне в пречка."
"Никой бизнес не е твърде малък, за да бъде насочен в кибер арената, особено от управлението на веригата за доставки", заяви Littleton на Microsoft. "Много от нарушенията не започват от върха; те започват някъде по веригата на доставки и нападателите работят по крайната цел."
Тот на NIST заяви, че през следващите две години правителствените агенции ще започнат да публикуват правила за достъп до системите на веригата за доставки. Междувременно тя каза, че малките и средни предприятия трябва да имат план.
"Планирането е безценно, за да знаете какво е наистина важно; това е едно нещо, което трябва да защитите и как би работил вашият бизнес, ако не беше достъпен", каза Тот на NIST. „Малките и средни предприятия трябва да разполагат с планове, политики и процедури. Не е голям правителствен подход; той може да бъде толкова прост, колкото политиките в наръчника на служителите ви, казващи какво могат и какво не могат да правят в интернет, как да забележат фишинг атака и кога да отваряте и да не отваряте връзки и прикачени файлове."
6. Отнасяйте се с електронната поща като с пощенска картичка, а не с плик
"Първото нещо като малък бизнес с имейл е да помислим какво има в него. Ако ще вляза в хакерска информация за нечия фирма, в имейла им често има всички добри неща", коментира Cobb на ESET. "Хората често не мислят за това какво оставят там. Погледнете хака на Sony; хората казваха неща по електронната поща, които не трябва да са. Имейлът е пощенска картичка, а не запечатан плик. Имайте предвид това."
„Става все повече за способността да се контролира данните“, заяви Littleton на Microsoft. „Може да си струва парите да използвате криптирана услуга за електронна поща с входящо филтриране, която намалява повърхността на атаката ви. Ако оставите номера на кредитната си карта в имейл, услугата ще ви попита дали наистина искате да изпратите това и след това автоматично да криптира не само броя, но целият имейл. С напредването на индустрията тези услуги стават все по-разумни и обичайни."
7. Винаги съобщавайте за инциденти
Крамерът на SBA обясни, че когато малък бизнес бъде нарушен или ударен с фишинг измама или заявка за откуп, той трябва да знае на кого да се обади. Cobb на ESET заяви, че ако малките предприятия не съобщават това на полицията от страх, че органите на реда не притежават ресурсите за разследване, цикълът ще продължи.
"Имаме един злополучен цикъл, при който органите на реда получават финансиране въз основа на докладвани престъпления, но хората не съобщават за престъпления, защото не смятат, че полицията разполага с ресурсите", коментира Коб. Ако никой не докладва, полицията никога няма да разполага с доказателства, за да се снабди с ресурси за справяне с тези проблеми в киберпрестъпността."
„Повечето общини имат киберпрестъпления и ще реагират“, добави Тот на NIST.
8. Създайте план за реагиране на инциденти
„Не се опитвайте да поставите колана си в средата на произшествието“, заяви Литълтън на Microsoft. „Имате нужда от план за това как ще реагирате, преди да се случи нарушение.“
„Не сте и в това напълно сам“, казва Коб. „Услугите за сигурност, които купувате от рафта, идват с повишена защита в облака или при достъпа до веригата за доставки. Може да предоставят услуги за откриване и предотвратяване на базово ниво. Когато съставяте своя план, уверете се, че не напускате услуги за сигурност на масата, предложена от вашия MSP или служба за сигурност."
9. Не оставяйте свободни краища
„Една от проблемните области, които виждаме - ако и когато служител напусне или бъде уволнен - достъпа им до системата не се прекратява незабавно“, коментира Cobb на ESET. „Малките фирми работят с хора, на които имат доверие, и с много хора, които идват и си отиват. Понякога те не отиват при най-щастливите обстоятелства. Ако бивш служител с мъка все още има достъп или дори все още им е активирана многофакторната автентификация, това е голям проблем с вътрешната сигурност, който е болезнено лесен за решаване."
10. Правителствени ресурси и обучение
Правителството предприема големи стъпки за справяне с киберсигурността. Белият дом пусна рамка за киберсигурност по-рано тази година, а предложението за бюджет на президента Обама за 2017 г. се стреми с 35% увеличение на финансирането (до 19 милиарда долара) за справяне с атаките срещу киберсигурност. Kramer и Tost на SBA посочиха безплатни правителствени ресурси, като цялата страница на SBA за ресурси за киберсигурност за малки и средни предприятия, включително съвети и инструменти за киберсигурност, колекция от курсове, обучения и семинари.
Някои от най-полезните ресурси са:
- Топ 10 съвети за киберсигурност на SBA
- Онлайн курс на SBA: Киберсигурност за малкия бизнес
- Инструмент за оценка на кибер устойчивостта (CRR)
- Малкият Biz Cyber Planner
- SBA, NIST и съвместните семинари за малък бизнес на ФБР
- YouTube каналът на SBA
- Ресурсен център за компютърна сигурност на NIST
- Сертификати и образователни програми на COMPTIA за изучаване на протоколи за сигурност на MSP
