Πίνακας περιεχομένων:
- Υιοθέτηση των σωστών στάσεων
- Φέρτε τη δική σας συσκευή ... ή Φέρετε τη δική σας παραβίαση δεδομένων;
- Τα ΜΜΕ μπορούν να παραμείνουν πίσω
Σε μια πρόσφατη έκθεση, ο McAfee δήλωσε το 2014 ως "έτος παραβίασης" και είναι εύκολο να καταλάβουμε γιατί. Αρκετές εταιρείες και εταιρείες υψηλού προφίλ έχουν υποστεί παράνομες παραβιάσεις δεδομένων από τον Ιανουάριο, από περισσότερους από 50 εκατομμύρια ανθρώπους στο Home Depot έως 70 εκατομμύρια συν στο JPMorgan. Εν τω μεταξύ, οι Staples, η PF Chang's, η Goodwill και ένας άλλος ένας άλλος έχουν πέσει όλα θύματα εγκλήματος στον κυβερνοχώρο.
Σύμφωνα με το δείκτη του SafeNet για το τρίτο τρίμηνο του 2014, σημειώθηκαν 320 παραβιάσεις δεδομένων μεταξύ Ιουλίου και Σεπτεμβρίου, εκ των οποίων το 46% αφορούσε κλοπή ταυτότητας.
Η ταλάντωση κάτω από τις επιφάνειες αυτών των σημαντικών ειδοποιήσεων παραβίασης είναι μια αναταραχή των παραβιάσεων δεδομένων χαμηλότερου προφίλ που συμβαίνουν κάθε εβδομάδα και είναι λιγότερο πιθανό να ακούσετε. Ένας στόχος όπως το Home Depot παρέχει μια ευκαιρία για μια τεράστια ημέρα πληρωμής, αλλά είναι επίσης υψηλότερος κίνδυνος και συνεπάγεται μεγάλο σχεδιασμό συναλλαγών. Έτσι, δεν είναι εκπληκτικό να βλέπουμε κάποιους χάκερ να πηγαίνουν για φρούτα χαμηλής ανάρτησης, όπως μικρές επιχειρήσεις (SMBs). Αυτά θα αποδώσουν μικρότερα αμοιβές, αλλά μπορεί να είναι άφθονα αν αρκετοί τραβηχτούν διαδοχικά.
Όλοι οι εγκληματίες στον κυβερνοχώρο χρησιμοποιούν νέα εργαλεία για να στοχεύουν τις ΜΜΕ, λέει η Trend Micro σε μία από τις τελευταίες εκθέσεις της σχετικά με τα keyloggers, τα οποία οι χάκερ μπορούν να χρησιμοποιήσουν για να αποφύγουν τα δεδομένα της εταιρείας.
"Οι μικρομεσαίες επιχειρήσεις έχουν αυτό το ψεύτικο αίσθημα ασφάλειας, πιστεύοντας ότι μια τέτοια επίθεση δεν θα τους συμβεί ποτέ ποτέ", λέει ο Gary Davis, επικεφαλής ευαγγελιστής ασφαλείας καταναλωτών στην McAfee. "Οι απειλές κατά της ασφάλειας δεν κάνουν διακρίσεις ανάλογα με το οργανωτικό μέγεθος και για τις μικρομεσαίες επιχειρήσεις των οποίων οι υπάλληλοι χρησιμοποιούν πολλαπλές συσκευές, αποκτά μεγαλύτερη σημασία να έχουν λύσεις ασφαλείας κατηγορίας".
Δεν χρειάζεται να σκάβετε πολύ μακριά για να βρείτε παραδείγματα παραβιάσεων μικρού έως μεσαίου μεγέθους. Το Houstonian Hotel στο Χιούστον, Τέξας, είδε τα στοιχεία πιστωτικής κάρτας των 10.000 πελατών που εκτέθηκαν κατά τη διάρκεια παραβίασης της ασφάλειας νωρίτερα αυτό το έτος. Σε μικρότερη κλίμακα, αλλά όχι λιγότερο σοβαρή, το κατάστημα Backcountry Gear του εξωτερικού εξοπλισμού του αθλητικού εξοπλισμού, το οποίο εδρεύει στο Όρεγκον, το οποίο μεταφέρει εμπορεύματα σε όλη την Αμερική, ανακάλυψε κακόβουλο λογισμικό στο σύστημά του τον Ιούλιο του 2014, το οποίο ενδέχεται να θέτει σε κίνδυνο τα δεδομένα των πελατών.
"Το πρόβλημα είναι ότι τόσες πολλές από αυτές τις εταιρείες απλά δεν θεωρούν την ασφάλεια ως κάτι που πρέπει να κάνουν, αλλά μάλλον κάτι που πρέπει να κάνουν", λέει ο Marcus Ranum, επικεφαλής της ασφάλειας στο Tenable Network Security. «Είναι ειλικρινείς, παίρνουν συχνά την ελάχιστη ελάχιστη προσέγγιση και αναθέτουν σε εξωτερικούς συνεργάτες και προσπαθούν να αναβάλουν την ευθύνη».
Υιοθέτηση των σωστών στάσεων
Η ασφάλεια λειτουργεί καλύτερα όταν αντιμετωπίζεται ως "βασική επιχειρηματική διαδικασία", σύμφωνα με τον οδηγό SMB Security Guide, έναν ιστότοπο που συμβουλεύει τις μικρές επιχειρήσεις σχετικά με τις βέλτιστες πρακτικές για την ασφάλεια.
Κάποια βασική βασική κατάρτιση απαιτείται για κάθε μικρή επιχείρηση για την προστασία των ψηφιακών της περιουσιακών στοιχείων. Οι εργαζόμενοι πρέπει να εκπαιδεύονται στη χρήση μοναδικών και δύσκολων κωδικών πρόσβασης, δήλωσε ο Davis και οι ιδιοκτήτες επιχειρήσεων πρέπει να γνωρίζουν τα δεδομένα τους μέσα και έξω, όπου τα πάντα είναι αποθηκευμένα και ποιος ακριβώς έχει πρόσβαση σε αυτό. Έχοντας ένα ανοικτό βιβλίο για δεδομένα μεταξύ των εργαζομένων είναι πιθανό να οδηγήσει σε διαρροή δεδομένων, είτε σκόπιμη είτε τυχαία.
Αλλού, οι ιδιοκτήτες επιχειρήσεων πρέπει να διασφαλίσουν ότι οι εφαρμογές και τα λειτουργικά τους συστήματα ενημερώνονται επίσης, αλλά η ασφάλεια στον κυβερνοχώρο είναι πολύπλευρη και μπορεί να πάρει και μια φυσική παρουσία. Ποιος έχει πρόσβαση σε δωμάτια όπου αποθηκεύονται σκληροί δίσκοι, για παράδειγμα;
"Μην αφήσετε τους ξένους να περιπλανηθούν στις αίθουσες και να περιορίσουν τη φυσική πρόσβαση με κλειδωμένες πόρτες και να διαχειριστούν τα συστήματα εισόδου", λέει ο Davis. "Βεβαιωθείτε ότι έχετε πραγματοποιήσει διεξοδικούς ελέγχους ιστορικού και αναφοράς πριν να προσλάβετε νέους υπαλλήλους."
Φέρτε τη δική σας συσκευή … ή Φέρετε τη δική σας παραβίαση δεδομένων;
Ο Οδηγός απόκρισης παραβίασης δεδομένων 2014/2015 της Experian και το Ινστιτούτο Ponemon συμβάλλουν στην ανάπτυξη μιας αυστηρής πολιτικής αντιμετώπισης παραβιάσεων. Οι αποτελεσματικές πολιτικές σε όλους τους τομείς θα βοηθήσουν κάθε επιχείρηση να αντιμετωπίσει καλύτερα τις παραβιάσεις των δεδομένων, ειδικά στην περίπτωση εταιρειών με πρακτικές του BYOD, οι οποίες δημιουργούν όλο και περισσότερες δυνατότητες παράβασης.
BYOD στο γραφείο γίνεται αναπόφευκτη, λέει ο σύμβουλος ασφάλειας F-Secure Sean Sullivan.
"Από τη σκοπιά του χρήστη, ο BYOD είναι μια μεγάλη ιδέα, αλλά από την άποψη της ασφάλειας, είναι μια τρομερή ιδέα", λέει. "Παίζετε το λαχείο της κακής τύχης, οι αποδόσεις είναι μικρές, αλλά το πρώτο βραβείο είναι μια σημαντική απώλεια χρημάτων".
Η συσκευή ανήκει στο άτομο και αυτό εγείρει ζητήματα γύρω από την ευθύνη, γι 'αυτό και η χάραξη μιας σιδερένιας πολιτικής είναι ζωτικής σημασίας και πρέπει να συμπληρώσει την εκπαίδευση των εργαζομένων σας στα πρωτόκολλα ασφαλείας.
"Συνιστούμε οι οργανώσεις να δίνουν στους υπαλλήλους τους πρόσθετη εκπαίδευση γύρω από τις ίδιες τις φυσικές συσκευές", προσθέτει ο Sullivan. "Προσφέροντας στους εργαζόμενους μεγάλη εμπειρία στο χρήστη, οι οδηγίες της εταιρείας σχετικά με την ασφάλεια είναι λιγότερο πιθανό να παραβιαστούν."
Τα ΜΜΕ μπορούν να παραμείνουν πίσω
Οι μικρές επιχειρήσεις ενθαρρύνονται να υιοθετήσουν μια προορατική προσέγγιση στην ασφάλεια και να υιοθετήσουν τις νοοτροπίες των μεγάλων εταιρειών, καθώς κανείς άλλος δεν θα σας κοιτάξει.
"Στην πραγματικότητα, ο κλάδος της ασφάλειας έχει αφήσει τις μικρές και μεσαίες επιχειρήσεις κάτω", λέει ο Paul Lipman, διευθύνων σύμβουλος της iSheriff, μιας εταιρείας ασφάλειας cloud με έδρα το Redwood City της Καλιφόρνια. Οι μικρομεσαίες επιχειρήσεις μπορούν να χαθούν στη συζήτηση και δεν λαμβάνουν την ίδια προσοχή όταν πρόκειται για την ασφάλεια, πολλές φορές τους αφήνουν να φροντίζουν για τον εαυτό τους.
Οι μικρομεσαίες επιχειρήσεις ενδέχεται να μην έχουν τόσο πολύ να προσφέρουν έναν εγκληματία στον κυβερνοχώρο όσο το Home Depot ή το Target, αλλά οι εταιρείες εξακολουθούν να έχουν πολλά να χάσουν.
"δεν ενδιαφέρονται να κλέψουν μυστικά ή πνευματική ιδιοκτησία όπως οι χάκερ που στοχεύουν σε μεγαλύτερες επιχειρήσεις" λέει ο Lipman, αλλά όπου υπάρχει μια επιχείρηση, υπάρχουν χρήματα και οι εγκληματίες στον κυβερνοχώρο θα στοχεύουν οτιδήποτε γνωρίζουν ότι μπορούν να διεισδύσουν.
Ορισμένες επιχειρήσεις γίνονται όλο και περισσότερο τεχνολογικά καταλαβαίνω, αλλά το κρίσιμο μέρος είναι ότι οι ΜΜΕ δεν μπορούν να πάρουν το χρόνο τους με αυτό. Η τεχνολογία - και οι απειλές στον κυβερνοχώρο - εξελίσσονται με εντυπωσιακό ρυθμό.
Η έκθεση Small Business Owner της Τράπεζας της Αμερικής δηλώνει ότι το 80% των μικρών επιχειρήσεων έχουν ενσωματώσει στην επιχείρηση τους "κάποιο είδος ψηφιακής μεθόδου", αλλά αυτό μπορεί να περιλαμβάνει τα κοινωνικά μέσα και την ασφάλεια. Πόσο μεγάλη προσοχή δίνεται στην ενδυνάμωση της ασφάλειας όπως καταβάλλεται για την επέκταση των κοινωνικών μέσων επικοινωνίας;
Η εταιρεία ασφαλείας BitSight δημοσίευσε νέα έρευνα τον Νοέμβριο του 2014, η οποία επιβεβαιώνει πολλές ανησυχίες σχετικά με την ασφάλεια των επιχειρήσεων, ιδίως τη λιανική πώληση, και σημειώνει ότι η ακεραιότητα της ασφάλειας έχει μειωθεί σε αυτές τις επιχειρήσεις.
"Ενώ είναι ενθαρρυντικό το γεγονός ότι η πλειοψηφία των παραβιαθέντων λιανοπωλητών έχουν βελτιώσει την αποτελεσματικότητά τους στην ασφάλεια, πρέπει να γίνουν περισσότερα δουλειά, ειδικά στον τομέα της διαχείρισης του κινδύνου των πωλητών", δήλωσε ο CTO της BitSight Stephen Boyer όταν ανακοίνωσε την έρευνα.
Θέτει αρκετές ερωτήσεις. Εάν είστε ιδιοκτήτης μικρής επιχείρησης, ελέγξατε τις πρακτικές ασφαλείας της εταιρείας σας και αξιολογείτε πού βρίσκεται η ασφάλεια στην ιεραρχία σας; Καθώς οι απειλές στον κυβερνοχώρο εξελίσσονται, οι μικρές επιχειρήσεις θα πρέπει να κάνουν το ίδιο.