Три основных критерия кибербезопасности для малого бизнеса
Вот как еще больше компаний могут повысить свою готовность к кибербезопасности, не нанося ущерба банкротству. Pixabay
Крупные кибератаки с потрясающей статистикой, такие как взлом миллиарда учетных записей Yahoo в 2016 году, захватывают большинство заголовков. Но что часто теряется в шуме, так это то, как часто малые и средние организации оказываются под ударом.
За последний год хакеры взломали половину американских предприятий малого бизнеса. Сюда входит Meridian Health в Манси, штат Индиана, где формы W-2 1200 сотрудников были украдены, когда сотрудник был обманут по электронной почте, якобы отправленной от высшего руководителя компании. Многие небольшие компании могут выйти из бизнеса всего в одном мошенническом банковском переводе.
Есть много советов о том, как бороться с киберпреступностью, но трудно сказать, что лучше. Я знаток того, как предприятия могут более эффективно снижать киберриски, и мой совет - знать три «Б» кибербезопасности: быть в курсе, быть организованным и проявлять инициативу.
Вот как еще больше компаний могут повысить свою готовность к кибербезопасности, не нанося ущерба банкротству.
Практически любая компания может быть уязвима для целого ряда кибератак. Менеджер компании или специалист по сетевой безопасности должен знать о различных типах цифровых угроз и о том, как ограничить уязвимость.
Есть несколько атак, о которых должен знать каждый сотрудник. Наиболее распространенные атаки используют метод, называемый «фишинг», или вариант, специально нацеленный на одну потенциальную жертву, называемый «целевым фишингом». Обычно они принимают форму сообщений электронной почты, которые кажутся отправленными коллегами или руководителями с просьбой предоставить конфиденциальную информацию. Вот что случилось с медицинской компанией в Манси. Эти сообщения могут содержать инструкции, которым жертва может следовать, считая их законными, например, щелчок по ссылке, которая устанавливает вредоносное ПО или собирает данные для входа в систему, или даже перевод средств на счет другой компании.
Лучшая защита от таких атак включает скептицизм и бдительность. Злоумышленники могут быть очень умными и настойчивыми: если только один человек имеет один слабый момент и нажимает на одну вредоносную ссылку, вся сеть может быть скомпрометирована.
Большинство компаний делают все возможное, чтобы защитить свои физические активы и персонал. Но многие не принимают подобных мер предосторожности со своей цифровой информацией. Ключевой компьютер может оставаться отключенным от Интернета, но если он принимает флеш-накопители или перезаписываемые компакт-диски или если его пароль легко угадать, информация также уязвима.
Владельцы малого бизнеса должны уделять приоритетное внимание кибербезопасности. Без надлежащей подготовки даже крупные компании могут оказаться неподготовленными к кибератакам. Когда в 2011 году взломали Sony, у нее не было руководителя, занимающегося исключительно информационной безопасностью. Но наем кого-то не предотвратил еще один взлом в 2014 году.
Планирование наперед жизненно важно, а не просто реагировать. Национальный институт стандартов и технологий Cybersecurity Framework перечисляет пять основных функций усилий по кибербезопасности: выявление уязвимостей, защита от атак, обнаружение любого, кто проникнет, быстрое реагирование на атаку и восстановление после ее остановки.
Некоторые компании уже получают рекомендации о том, что следование рекомендациям NIST может снизить юридическую ответственность в случае возникновения или обнаружения проблем с кибербезопасностью. Компании также могут сотрудничать с колледжами и университетами для создания клиник кибербезопасности или даже рассмотреть возможность покупки страховки от киберрисков.
Невозможно избежать кибератаки, но это не значит, что вы станете жертвой. Простые шаги могут дать огромные результаты: правительство Австралии сообщило, что противостоит 85% кибератак, выполнив три основных шага: ограничение того, какие программы могут запускаться на государственных компьютерах, регулярное обновление программного обеспечения и минимизация количества людей, которые имеют административный контроль над сетями и ключевыми машинами. .
Кибербезопасность не обязательно должна быть ракетной наукой; это просто информатика.
Скотт Шакелфорд - адъюнкт-профессор делового права и этики; Директор программы семинаров Острома по кибербезопасности и управлению Интернетом; Председатель программы кибербезопасности, Ай-Блумингтон в Университете Индианы. Эта статья изначально была опубликована в The Conversation. Прочтите оригинальную статью.
комментариев