Чому малому бізнесу потрібно вчитися на порушеннях гучних даних

У недавньому звіті Макфей оголосив 2014 рік "роком порушення", і легко зрозуміти, чому. Декілька гучних компаній та корпорацій зазнали каліцтва порушень даних з січня з понад 50 мільйонів людей в Home Depot до 70 мільйонів плюс у JPMorgan. Тим часом, Стейплз, П. Ф. Чанг, Репутація та інші люди стали жертвою кіберзлочинності.

Згідно з індексом рівня порушень SafeNet за третій квартал 2014 року, між липнем та вереснем було зареєстровано 320 випадків порушення даних, 46% з яких стосувалися крадіжок особи.

Булінг під поверхнею цих основних сповіщень про порушення - це шквал порушень даних нижчого профілю, що відбуваються щотижня, про які ви рідше чуєте. Така ціль, як Home Depot, надає можливість для масової оплати праці, але також підвищує ризик і передбачає велике планування угод. Тож не дивно, що деякі хакери збираються за низько висячими фруктами, як малий бізнес (SMB). Вони принесуть менші зарплати, але можуть бути корисними, якщо декілька буде знято підряд.

Весь цей час кіберзлочинці використовують нові інструменти для націлювання на SMB, говорить Trend Micro в одному з своїх останніх звітів про кейлоггери, які хакери можуть використовувати для вилучення даних компанії.

"Малі та середні підприємства мають це помилкове почуття безпеки, думаючи, що така атака з ними ніколи не трапиться", - говорить Гері Девіс, головний євангеліст з питань споживчої безпеки McAfee. "Загрози безпеці не розрізняють організаційний розмір, і для малих і середніх підприємств, чиї працівники використовують декілька пристроїв, все важливішим є рішення про безпеку в класі".

Вам не потрібно занадто копати, щоб знайти приклади порушень малого та середнього розміру. Готель Houstonian в Х'юстоні, Техас, побачив реквізити кредитних карток 10 000 клієнтів, викритих під час порушення безпеки на початку цього року. У меншому масштабі, але не менш серйозний, магазин відкритого спортивного спорядження Backcountry Gear, що базується в штаті Орегон, який здійснює доставку товарів по всій території США, у липні 2014 року виявив у своїй системі шкідливі програми, які, можливо, пошкодили дані клієнтів.

"Проблема полягає в тому, що так багато цих компаній просто не розглядають безпеку як щось, що їм потрібно зробити, а швидше щось, що вони повинні робити", - каже Маркус Ранум, головний директор з безпеки в Tenable Network Security. "Будучи відвертими, вони часто застосовують мінімальний підхід у кращому випадку, і надають аутсорсинг та намагаються відкласти відповідальність".

Прийняття правильних поглядів

Безпека працює найкраще, коли це трактується як "основний бізнес-процес", згідно з Посібником з безпеки SMB, веб-сайту, який консультує малий бізнес щодо найкращих практик безпеки.

Будь-яка основна підготовка необхідна будь-якому малому бізнесу щодо захисту своїх цифрових активів. Співробітники повинні бути навчені використовувати унікальні та складні паролі, сказав Дейвіс, а власники бізнесу повинні знати їхні дані всередині та зовні, де все зберігається та хто саме має доступ до них. Наявність відкритої книги про дані серед працівників, ймовірно, може призвести до витоку даних, навмисного чи випадкового.

В іншому випадку власники бізнесу повинні стежити за тим, щоб їх додатки та операційні системи також були оновлені, але кібербезпека є багатогранною і може також мати фізичну присутність. Хто має доступ до приміщень, де зберігаються жорсткі диски, наприклад?

"Не дозволяйте стороннім людям блукати залами і обмежувати фізичний доступ із замкнутими дверима та керованими системами в'їзду", - каже Девіс. "Обов'язково проводите ретельну перевірку та довідкову роботу, перш ніж наймати нових співробітників."

Принесіть власний пристрій … або доведіть власні порушення даних?

Посібник з реагування на порушення даних щодо даних Experian 2014/2015 та Інститут Понемона створюють жорстку політику реагування на порушення. Ефективна політика в цілому допоможе будь-якому бізнесу краще боротися зі своїми порушеннями даних, особливо це стосується компаній, які практикують BYOD, які створюють все нові й нові можливості для порушення.

BYOD в офісі стає неминучим, каже радник з безпеки F-Secure Шон Салліван.

"З точки зору користувача, BYOD - це чудова ідея, але з точки зору безпеки - це жахлива ідея", - говорить він. "Ви граєте в лотерею невдачі; шанси невеликі, але перший приз - це значна втрата грошей".

Пристрій належить особі, і це викликає питання щодо відповідальності, саме тому розробка політики, одягненої у залізо, є життєво важливою і повинна доповнювати навчання ваших співробітників протоколам безпеки.

"Ми рекомендуємо організаціям проводити своїх співробітників додаткове навчання навколо фізичних пристроїв", - додає Салліван. "Пропонуючи працівникам чудовий досвід користувачів, менше шансів на те, що керівництво компанії, що стосується безпеки, не буде порушено".

МСП можуть залишатися позаду

Малому бізнесу пропонується проактивно підходити до безпеки та дотримуватися менталітету великих компаній, оскільки ніхто за вас не буде доглядати.

"Насправді галузь безпеки дозволила знизити малий і середній бізнес", - каже Пол Ліпман, генеральний директор iSheriff, хмарної фірми з безпеки у місті Редвуд-Сіті, штат Каліфорнія. Малі та середні компанії можуть загубитися в розмові і не отримують такої ж уваги, коли йдеться про безпеку, часто залишаючи їх домагатися самих себе.

Малі та середні підприємства можуть не стільки запропонувати кіберзлочинцю, скільки домашнє депо, так і цільове, але компанії все-таки багато чого втрачати.

"вони не зацікавлені в крадіжці секретів чи інтелектуальної власності, як хакери, спрямовані на більші підприємства", - каже Ліпман, але там, де є бізнес, є гроші, а кібер-злочинці націляться на все, на що вони знають, що вони можуть проникнути.

Деякі підприємства стають все більш сприятливими для технологій, але найважливішою є те, що малі та середні підприємства не можуть витратити на це свій час. Технологія - і кіберзагрози - розвиваються вражаючими темпами.

Звіт власника малого бізнесу Bank of America зазначає, що 80% малого бізнесу включили у свій бізнес "певний цифровий метод", але це може включати соціальні медіа та безпеку. Скільки уваги приділяється зміцненню безпеки, як приділяється розширенню охоплення соціальних медіа?

У листопаді 2014 року охоронна фірма BitSight опублікувала нове дослідження, яке підтверджує багато проблем щодо безпеки бізнесу, особливо роздрібної торгівлі, та зазначає, що цілісність безпеки в цих підприємствах знизилася.

"Незважаючи на те, що більшість роздрібних продавців покращили ефективність своєї безпеки, ще потрібно зробити ще багато роботи, особливо в галузі управління ризиками постачальників", - заявив CTO Стівен Бойер, оголошуючи дослідження.

Це викликає кілька питань. Якщо ви власник малого бізнесу, чи проводили ви аудит практики безпеки вашої компанії та оцінювали, де безпека стоїть у вашій ієрархії? У міру розвитку кіберзагроз малому бізнесу потрібно буде робити те саме.