10 צעדים לאבטחת סייבר כי העסק הקטן שלך צריך לנקוט ברגע זה

שבוע העסקים הקטנים הלאומי יוצא לדרך, והחגיגות לא לקח זמן רב כדי לטפל באחד הנושאים הבהירים והנוכחים ביותר לעסקים קטנים ובינוניים (SMB): אבטחת סייבר. מינהל העסקים הקטנים (SBA) הוא הסוכנות הממשלתית האמריקאית המוקדשת לספק עזרה, הכשרה והמלצות קונקרטיות שעסקים קטנים יוכלו להוציא לפועל מייד בפעילותם היום יומית. לשם כך, במקום רק להציע מגמות אבטחה מקיפות-בשמיים, פאנל האבטחה בתחום ה- Cyber ​​SBA של ימינו נתן לחברות קטנות ובינוניות טיפים, משאבים, וצעדים שהם יכולים לנקוט בכדי להקל על פגיעויות האבטחה ולהציב אסטרטגיית אבטחה מקיפה.

סגן מנהל מערכת ה- SBA, דאג קרמר, מינה את הפאנל של מומחי האבטחה כאשר הם דנו בסיכוני האבטחה הגדולים ביותר שעומדים בפני עסקים קטנים, והצעדים החשובים ביותר שהם יכולים לנקוט כדי להגן על התשתית והנתונים שלהם, מבוססי ענן או פיזיים. בפאנל כלל את ביל אוקונל, סגן נשיא לביטוח אמון גלובלי ב- ADP; סטיבן קוב, חוקר ביטחון בכיר ב- ESET צפון אמריקה; מאט ליטלטון, המנהל האזורי של מזרח בתחום שירותי הסייבר ותשתיות התכלת במיקרוסופט; ופטרישיה (פט) טות, מדעני מחשבים פיקוח באגף אבטחת מחשבים במכון הלאומי לתקנים וטכנולוגיה (NIST).

חברי הפאנל דיברו על סוגיות בנושא אבטחת סייבר, החל מדייגות, תוכנות רנסומיזציה וכיצד לטפל בהפרה ועד כיצד עסקים קטנים צריכים לגשת לאימות מולטי-פקטורים (MFA), הדרכת אבטחת עובדים ומדיניות, מה לחפש בחוזה של ספק שירות מנוהל (MSP), ומתי להתקשר ליועץ לאבטחת IT.

לא מדובר רק בכרטיסי אשראי של עובדים ולקוחות ומידע בנקאי, על פי קרמר, אלא שעסקי נתוני הקניין הרוחני מחזיקים בכל מקום, מדוא"ל לאחסון ענן, ומשטחי ההתקפה שעלולים להפוך עסק קטן לקישור החלש ומטרה קלה אליו שרשרת האספקה. על פי ה- SBA, אמר קרמר, כמעט מחצית מכל העסקים הקטנים נפגעו במידה מסוימת מפשעי רשת, ועלות ההתקפה הממוצעת היא כ 21, 000- דולר.

"כל מי שמקים עסק קטן עובד קשה ככל יכולתו, ללא זמן או כסף נוסף להתמודדות עם אתגר ביטחון ברשת שעשוי לעלות יותר מהצפוי ומשמעות חיים או מוות עבור עסק קטן, " העיר קרמר של SBA כוועדה התחיל. "האיום של פריצה וגניבת סייבר הוא אמיתי מאוד. עסקים קטנים מודדים נכסים ומלאי בדרכים שונות, אך הם יושבים על אוצר מידע."

1. אבטחת ענן: עשה ואל תעשה

מסיבות חסכוניות ונוחות, כל ה- SMB צריכים לשקול לבצע מעבר לענן, אך המעבר צריך להתרחש בזהירות. חברי הפאנל דנו בכמה מהשיקולים והחסמים החשובים ביותר.

• עשה: גיבוי ענן מצטבר

  "לענן יש הרבה יתרונות וסיכונים, אבל דבר אחד שכולם צריכים לעשות הוא גיבוי", אמר Cobb של ESET. "הגיבוי הנוכחי של כל הקבצים הוא ההגנה הטובה ביותר כנגד תוכנות רנסומיות וחלק קריטי מתנוחת ההגנה והסייבר שלך. עדיין עליך לגבות לכונן קשיח ולאחסן עותק במקום בטוח במקום נפרד, אך הענן מאפשר לך לגבות כל הזמן. "

• עשה: שלם עבור אבטחת ענן פרימיום

  אוקונל, ADP, אמר כי "בעלי עסקים קטנים מודעים למחיר, אך גורמים אחרים צריכים לקבל את המשקל הנכון." "יש דברים שצריכים לעלות יותר כסף עבור רמה גבוהה יותר של שירות וביטחון זה אחד הדברים האלה. אל תקבל החלטה רק על סמך מחיר."

• אל: פשוט חתמו על חוזה MSP

  "בדוק את החוזה הזה", אמר קוב של ESET. "אתה יכול למקם מיקור חוץ של אחסון או גיבוי, אך אינך יכול למקד את האחריות. אם בעל ה- SMB אומר שלספק ה- IT יש את כל נתוני הלקוחות והעובדים - הנתונים שלך - אתה עדיין אחראי."

  "כשמדובר לא רק בחוזה אלא בנתונים, עשה את המחקר כדי לבדוק אם יש בעיות אבטחה", הוסיף אוקונל של ADP. "עבור SMB, החוזה הוא חלק טוב מקו ההגנה הזה. בדוק את ה- SLAs ומדיניות נתוני שכבת הגישה. כמה זמן שומרים MSP שומרים את הנתונים? מה הם עושים עם זה?"

• אל תשאיר תכונות תשתית MSP שאינן בשימוש

  "אם אתה נכנס לסביבת ענן, אתה יכול להעביר חלק מהאחריות הזו. אנחנו כבר לא בזירת פלטפורמה שבה אתה צריך לדאוג שלא יהיה לך את הצוות שיגיב לבעיה או יתקן שרת, " אמרו של מיקרוסופט ליטלטון. "שם ספק השירות יכול להיכנס ולהתמודד עם זה בשמך. אתה צריך להבין למה אתה מסתכל מבחינה חוזית ואילו שירותים מספקי הענן מציע."

2. אימות רב-פקטורי: פשוט עשה זאת

"מנקודת מבט אישית וגם מבחינה עסקית, MFA הוא דבר שאתה יכול לעשות מייד. לעסקים אין שום תירוץ לא לעשות זאת מייד", אמר ליטלטון של מיקרוסופט. "זה פשוט עם כל מערך המוצרים של מיקרוסופט; הדבר תקף גם לגוגל, יאהו, אתה נותן ספק לספק הדוא"ל. הסתכל בהגדרות האבטחה שלך ודורש מכל עובד להזין את מספר הטלפון הנייד שלהם כגורם שני. ואז, גם אם אני תוקף ואני גונב את הסיסמא שלך, אני לא יכול להשתמש בה אלא אם אני גונב את הטלפון הנייד שלך ויודע את ה- PIN."

3. מתי להתקשר ליועץ לאבטחת IT

" יהיו דברים שאתה לא יכול לעשות לבד כבעל עסק קטן, " אמר אוקונל של ADP. "לגבי חוזים חשובים מאוד אתה מקבל ייעוץ משפטי חיצוני. לגבי כספים שנתיים ורבעוניים יש לך רואה חשבון. הדבר תקף למומחיות אבטחה. כשאתה צריך לבדוק אתר כדי לוודא שהוא בטוח באינטרנט, או לבצע הערכת סיכונים, זה כסף שבזבז אותו היטב אם אין לך את המומחיות לעשות זאת בעצמך. אתה לא עושה חשמל או אינסטלציה בבניין בעצמך. זה קשור לדעת מתי אתה זקוק לעזרה."

4. ביטחון הוא חלק מתפקידו של כולם

"אינך יכול לסמוך רק על אדם אחד בחברה המונה עשרה אנשים; כולם צריכים להיות בעלי הבנה טובה של אבטחת הרשת ומה הסיכונים עבור הארגון", אמר טות 'של NIST. "אם לא, התפקיד שלהם יכול להיות בסכנה אם יש הפרה והעסק לא יכול להתאושש."

"הפוך את הביטחון לחלק מתפקידו של כל אדם", הוסיף אוקונל של ADP. "מי שמנהל כספים - מה הם צריכים לעשות כל יום? בצד הפיזי, מי זה שוגר את הדלת בלילה? כולם צריכים לדעת את הרכיבים ואיך התפקיד שלהם מתאים לביטחון הכללי של העסק."

5. אל תהיה קישור שרשרת האספקה ​​החלשה

כפי שהסביר Kramer של SBA, אין עוד חלוקה בין חברות קטנות ובינוניות לעסקים. עסקים קטנים רוצים לצמוח ולהתרחב, או שהם מתחברים לשרשרת אספקה ​​ארגונית לתוכנה ושירותים. הבעיה היא, שמדיניות האבטחה של SMB עשויה לא לעמוד בקנה אחד עם חברת שרשרת האספקה ​​איתה הן מחפשות לשותף.

"כאשר SMB מקבל את החוזה הגדול הראשון שלהם עם חברה גדולה והם מבקשים לראות את מדיניות האבטחה ותוכנית המודעות שלך, אתה לא אמור להסתובב בכדי לבדוק את כל מה שמופיע ברשימה, " אמר Cobb של ESET. "סיכון בשרשרת האספקה ​​מעלה ומטה הוא דאגה גדולה. אם SMB מתקיים דיגיטלית עם ספק, בדוק אותם. אתה צריך שמדיניות אבטחה והדרכה יהיו במקום כדי שזה לא יהפוך למכשול."

ליטלטון של מיקרוסופט אמר כי "אף עסק לא קטן מכדי להיות ממוקד בזירת הסייבר, במיוחד מניהול שרשרת האספקה". "פריצות רבות אינן מתחילות בראש. הן מתחילות איפשהו בשרשרת האספקה ​​והתוקפות עובדות דרכן אל היעד האולטימטיבי."

השותף של NIST אמר בשנתיים הקרובות, תראה שסוכנויות ממשלתיות יתחילו לפרסם חוקים לגישה למערכות שרשרת האספקה. בינתיים אמרה כי חברות קטנות ובינוניות צריכות להיות בעלות תוכנית.

"תכנון לא יסולא בפז לדעת מה באמת חשוב; הדבר היחיד שאתה צריך להגן עליו ואיך העסק שלך יפעל אם הוא לא היה נגיש, " אמר טות 'של NIST. "חברות קטנות ובינוניות צריכות להיות קיימות תוכניות, מדיניות ונהלים. לא גישה ממשלתית גדולה; זה יכול להיות פשוט כמו מדיניות בספר העובדים שלך שאומר מה הם יכולים ולא יכולים לעשות באינטרנט, כיצד לאתר התקפת דיוג., ומתי לפתוח ולא לפתוח קישורים וקבצים מצורפים."

6. התייחס לדוא"ל כמו גלויה, ולא למעטפה

"הדבר הראשון לעשות כעסק קטן עם אימיילים הוא לחשוב מה יש בו. אם אני נכנס לפרוץ למידע של מישהו של מישהו, בדוא"ל שלהם יש לעתים קרובות כל הדברים הטובים, " אמר Cobb של ESET. "אנשים בדרך כלל לא חושבים על מה שהם משאירים שם. תראו את ההאקינג של סוני; אנשים אמרו דברים בדוא"ל שהם לא היו צריכים להיות. דוא"ל הוא גלויה, לא מעטפה אטומה. זכור את זה."

ליטלטון של מיקרוסופט אמר כי "זה הולך ונעשה יותר ויותר ביכולת לשלוט בנתונים." "יכול להיות שווה את הכסף להשתמש בשירות דוא"ל מוצפן עם סינון נכנס שמקטין את שטח ההתקפה שלך. אם השארת את מספר כרטיס האשראי שלך בדוא"ל, השירות היה שואל אם אתה באמת רוצה לשלוח את זה ואז להצפין אוטומטית לא רק המספר אלא הדוא"ל כולו. ככל שהתעשייה מתקדמת, השירותים האלה הופכים להיות יותר סבירים ושכיחים."

7. דווח תמיד על אירועים

קרמר ב- SBA הסביר כי כאשר עסק קטן נפרץ או נפגע מהונאת דיוג או בקשת תוכנות כופר, הם צריכים לדעת למי להתקשר. Cobb של ESET אמר כי אם עסקים קטנים לא ידווחו על כך למשטרה מחשש שאכיפת החוק לא תהיה ברשותם המשאבים לחקירה, המחזור ינצח.

"יש לנו מחזור מצער בו אכיפת החוק מקבלת מימון על בסיס פשעים המדווחים, אבל אנשים לא מדווחים על פשעים מכיוון שהם לא חושבים שלמשטרה יש את המשאבים", אמר Cobb של ESET. אם איש לא ידווח, לעולם לא יהיו בידי המשטרה את הראיות להצטייד במשאבים לטיפול בסוגי פשיעה ברשת."

"לרוב העיריות יש יחידות פשע בסייבר והן יגיבו", הוסיף טות 'של NIST.

8. התקיים תוכנית תגובה לאירוע

"אתה לא מנסה לשים את חגורת הבטיחות שלך באמצע תאונה, " אמר ליטלטון של מיקרוסופט. "אתה זקוק לתכנית שתונחה כיצד תגיב לפני שתתרחש הפרה."

"גם אתה לא בעניין הזה לגמרי לבד, " אמר קובס ESET. שירותי אבטחה שאתה קונה מהמדף מגיעים עם הגנה מוגברת בענן או בגישה לשרשרת האספקה. יתכן שהם מספקים שירותי איתור ומניעה ברמה בסיסית. כשאתה מגדיר את התוכנית שלך, וודא שאתה לא עוזב את שירותי האבטחה. על השולחן שמציע ה- MSP או שירות האבטחה שלך."

9. אל תשאיר קצוות רופפים

"תחום בעיה אחד שאנחנו רואים - אם וכאשר עובד עוזב או מפוטר - גישת המערכת שלהם לא נפסקת מייד", אמר Cobb של ESET. "עסקים קטנים עובדים עם אנשים שהם סומכים עליהם, והרבה אנשים שבאים והולכים. לפעמים הם לא עוברים בנסיבות המאושרות ביותר. אם לעובד לשעבר עם טינה יש עדיין גישה או אפילו אימות המולטי-פקטור שלהם עדיין מופעל, זה בעיה אבטחת פנים גדולה שקל לטפל בה עד כאב."

10. משאבים והדרכה ממשלתיים

הממשלה נוקטת בצעדים מרכזיים בכדי להתמודד עם אבטחת הרשת. הבית הלבן שיחרר מוקדם יותר השנה מסגרת ביטחון ברשת, והצעת התקציב של הנשיא אובמה לשנת 2017 מבקשת גידול של 35 אחוז במימון (ל -19 מיליארד דולר) להתמודדות עם התקפות ביטחון ברשת. קרמר של SBA ו- Toth של NIST הצביעו על משאבי ממשלה חינמיים כמו כל העמודים של SBA במשאבי אבטחת הרשת עבור חברות קטנות ובינוניות, כולל טיפים וכלים בנושא אבטחת סייבר, אוסף קורסים, הדרכות וסמינרים מקוונים.

כמה מהמשאבים השימושיים ביותר הם:

• 10 הטיפים המובילים של SBA בנושא אבטחת רשת
• קורס מקוון SBA: אבטחת סייבר לעסקים קטנים
• כלי הערכת Cyber ​​Resilience Review (CRR)
• מתכנן הסייבר הקטן
• SBA, NIST, וסדנאות העסקים הקטנות המשותפות של ה- FBI
• ערוץ היוטיוב של ה- SBA
• מרכז משאבי אבטחת המחשבים של NIST
• ההסמכות ותוכניות החינוך של COMPTIA ללמוד פרוטוקולי אבטחה של MSP