10 шагов кибербезопасности, которые ваш малый бизнес должен предпринять прямо сейчас

Проводится Национальная неделя малого бизнеса, и торжества не заставили себя долго ждать, чтобы решить одну из самых ярких и вездесущих проблем для малого и среднего бизнеса (SMB): кибербезопасность. Администрация малого бизнеса (SBA) - это правительственное учреждение США, которое занимается оказанием конкретной помощи, обучением и рекомендациями, которые малые предприятия могут сразу применить на практике в своей повседневной деятельности. С этой целью, вместо того, чтобы просто предлагать тенденции безопасности «в небе», сегодняшняя группа SBA по кибербезопасности дала SMB конкретные советы, ресурсы и шаги, которые они могут предпринять, чтобы смягчить уязвимости безопасности и внедрить комплексную стратегию безопасности.

Заместитель администратора SBA Дуг Крамер модерировал группу экспертов по безопасности, обсуждая самые большие риски для безопасности, с которыми сталкиваются малые предприятия, и самые важные шаги, которые они могут предпринять для защиты своей инфраструктуры и данных, облачных или физических. В состав группы входили Билл О'Коннелл, вице-президент Global Trust Assurance в ADP; Стивен Кобб, старший научный сотрудник ESET в Северной Америке; Мэтт Литтлтон, восточный региональный директор служб кибербезопасности и инфраструктуры Azure в Microsoft; и Патриция (Пэт) Тот, старший научный сотрудник отдела компьютерной безопасности Национального института стандартов и технологий (NIST).

Участники дискуссии говорили о проблемах кибербезопасности, начиная от фишинга, вымогателей и того, как справиться с нарушением, до того, как малому бизнесу следует подходить к многофакторной аутентификации (MFA), обучению и политикам безопасности сотрудников, что нужно искать в контракте с поставщиком управляемых услуг (MSP), и когда позвонить консультанту по информационной безопасности.

По словам Крамера, речь идет не только о кредитных карточках сотрудников и клиентов, а также о банковской информации, а о том, что предприятия, занимающиеся данными в области интеллектуальной собственности, распространены повсеместно, от электронной почты до облачного хранилища, и на поверхности атак, которые могут сделать малый бизнес слабой связью и легкой целью в цепочка поставок. По данным SBA, по словам Крамера, почти половина всех малых предприятий в той или иной степени пострадала от киберпреступности, а средняя стоимость атаки составляет приблизительно 21 000 долларов.

«Любой, кто начинает малый бизнес, работает изо всех сил, не имея дополнительного времени или денег для решения проблемы кибербезопасности, которая может стоить больше, чем ожидалось, и означать жизнь или смерть для малого бизнеса», - отметил Крамер из SBA в качестве панели. начал. «Угроза кибер-вторжения и кражи очень реальна. Малые предприятия по-разному измеряют активы и запасы, но они находятся в сокровищнице информации».

1. Облачная безопасность: что нужно и что нельзя делать

По причинам рентабельности и удобства все SMB должны рассмотреть возможность перехода к облаку, но переход должен происходить осторожно. Участники дискуссии обсудили некоторые из наиболее важных соображений и препятствий.

• Делать: инкрементное резервное копирование в облако

  «Облако имеет много преимуществ и рисков, но все, что нужно делать малым и средним предприятиям, - это резервное копирование», - сказал Кобб из ESET. «Текущее резервное копирование всех файлов - лучшая защита от вымогателей и критическая часть вашего состояния и защиты от кибербезопасности. Вы все равно должны выполнять резервное копирование на жесткий диск и хранить копию в безопасном месте в отдельном месте, но облако позволяет создавать резервные копии постоянно."

• Делать: платить за премиум облачной безопасности

  «Владельцы малого бизнеса ориентированы на цену, но другие факторы должны набирать вес», - сказал О'Коннелл из ADP. «Некоторые вещи должны стоить больше денег для более высокого уровня обслуживания, и безопасность - одна из тех вещей. Не просто принимайте решение, основанное на цене».

• Не: просто подпишите контракт MSP

  «Проверьте этот контракт», - сказал Кобб из ESET. «Вы можете передать на хранение хранилище или резервное копирование, но вы не можете передать ответственность за это. Если владелец SMB говорит, что у ИТ-провайдера есть все данные о клиенте и сотруднике - ваши данные - вы по-прежнему отвечаете».

  «Когда речь идет не только о контракте, но и о данных, проведите исследование, чтобы выяснить, есть ли какие-либо проблемы с безопасностью», - добавил О'Коннелл из ADP. «Для малого и среднего бизнеса контракт является хорошей частью этой линии защиты. Проверьте SLA и политики доступа на уровне данных. Как долго MSP хранит данные? Что они с ним делают?»

• Не оставляйте: Неиспользуемые функции инфраструктуры MSP

  «Если вы вступите в облачную среду, вы можете переложить часть этой ответственности. Мы больше не на арене платформы, где вам нужно беспокоиться о том, что у персонала не будет ответа на проблему или исправления сервера», - сказали в Microsoft. Литтлтон. «Вот где поставщик услуг может вмешаться и справиться с этим от вашего имени. Вам необходимо понять, с чем вы сталкиваетесь с точки зрения контракта и какие услуги предлагает поставщик облачных вычислений».

2. Многофакторная аутентификация: просто сделай это

«Как с личной, так и с деловой точки зрения, MFA - это то, что вы можете сделать немедленно. У бизнеса нет оправданий не делать этого сразу», - сказал Литтлтон из Microsoft. «Это просто для всего пакета продуктов Microsoft; то же самое касается Google, Yahoo, вы называете провайдера электронной почты. Посмотрите на настройки безопасности и потребуйте, чтобы каждый сотрудник ввел свой номер мобильного телефона в качестве второго фактора. Тогда, даже если я злоумышленник и я украдем ваш пароль, я не смогу его использовать, пока я не украду ваш мобильный телефон и не узнаю PIN-код ».

3. Когда звонить консультанту по информационной безопасности

« Будут вещи, которые вы не сможете сделать в одиночку как владелец малого бизнеса», - сказал О'Коннелл из ADP. «Для очень важных контрактов вы получаете внешнюю юридическую консультацию. Для годовых и квартальных финансовых операций у вас есть бухгалтер. То же самое касается экспертизы в области безопасности. Когда вам нужно протестировать сайт, чтобы убедиться в его веб-безопасности, или провести оценку рисков, это хорошо потраченные деньги, если у вас нет опыта, чтобы сделать это самостоятельно. Вы сами не проводите электричество или слесарное дело в здании; речь идет о том, чтобы знать, когда вам нужна помощь ».

4. Безопасность - это часть работы каждого

«Нельзя полагаться только на одного человека в компании из 10 человек; каждый должен иметь хорошее представление о кибербезопасности и о том, каковы риски для организации», - сказал Тот из NIST. «Если они этого не сделают, их работа может оказаться под угрозой, если произойдет нарушение, и бизнес не сможет восстановиться».

«Сделать безопасность частью работы каждого человека», - добавил О'Коннелл из ADP. «Человек, который управляет финансами - что им нужно делать каждый день? С физической стороны, кто закрывает дверь ночью? Каждый должен знать компоненты и то, как их роль вписывается в общую безопасность бизнеса».

5. Не будь слабой цепочкой поставок

Как объяснил Крамер из SBA, больше нет разделения между малым и средним бизнесом и предприятиями. Малые предприятия либо хотят расти и масштабироваться, либо подключаются к корпоративной цепочке поставок программного обеспечения и услуг. Проблема в том, что политики безопасности SMB могут не соответствовать стандартам компании цепочки поставок, с которой они хотят сотрудничать.

«Когда SMB получает свой первый крупный контракт с крупной компанией, и они просят посмотреть ваши политики безопасности и программу повышения осведомленности, вы не должны изо всех сил проверять все из контрольного списка», - сказал Кобб из ESET. «Риск цепочки поставок вверх и вниз - серьезная проблема. Если SMB взаимодействует в цифровом виде с поставщиком, проверьте их. Вам нужно иметь политику безопасности и обучение, чтобы это не стало препятствием».

«Ни один бизнес не слишком мал, чтобы быть нацеленным на кибер-арену, особенно со стороны управления цепочками поставок», - сказал Литтлтон из Microsoft. «Многие нарушения не начинаются сверху, они начинаются где-то в цепочке поставок, и злоумышленники пробиваются к конечной цели».

Тот из NIST сказал, что в ближайшие два года вы увидите, что правительственные учреждения начнут публиковать правила доступа к системам цепочки поставок. Тем временем она сказала, что у малого и среднего бизнеса должен быть план.

«Планирование бесценно, чтобы знать, что действительно важно; это одна вещь, которую вы должны защищать, и как ваш бизнес будет работать, если он не будет доступен», - сказал Тот из NIST. «У малого и среднего бизнеса должны быть планы, политики и процедуры. Не слишком большой государственный подход; это может быть так же просто, как политики в руководстве для ваших сотрудников, в которых говорится, что они могут и не могут делать в Интернете, как определить фишинговую атаку., а когда открывать, а не открывать ссылки и вложения."

6. Рассматривайте электронную почту как открытку, а не конверт

«Первое, что нужно сделать малому бизнесу с электронной почтой, это подумать о том, что в нем. Если я собираюсь взломать чью-то информацию о компании, то в их электронной почте часто есть все хорошее», - сказал Кобб из ESET. «Люди часто не задумываются о том, что они там оставляют. Посмотрите на взлом Sony: люди говорили вещи по электронной почте, которой им не следовало бы. Электронная почта - это открытка, а не запечатанный конверт. Имейте это в виду."

«Кроме того, речь идет о возможности контролировать данные», - сказал Литтлтон из Microsoft. «Возможно, стоит потратить деньги на использование службы зашифрованной электронной почты с входящей фильтрацией, которая уменьшает вероятность атаки. Если вы оставите номер своей кредитной карты в электронном письме, служба спросит, действительно ли вы хотите отправить это, а затем автоматически не только номер, но и вся электронная почта. По мере развития отрасли эти услуги становятся все более разумными и обыденными ».

7. Всегда сообщайте об инцидентах

Крамер из SBA объяснил, что когда малый бизнес подвергается риску фишинг-мошенничества или вымогательства, ему необходимо знать, кому звонить. Кобб из ESET сказал, что если малые предприятия не сообщат об этом в полицию, опасаясь, что правоохранительные органы не располагают ресурсами для расследования, цикл будет продолжаться.

«У нас неудачный цикл, когда правоохранительные органы получают финансирование на основании сообщений о преступлениях, но люди не сообщают о преступлениях, потому что не думают, что у полиции есть ресурсы», - сказал Кобб из ESET. Если никто не сообщит, у полиции никогда не будет доказательств, чтобы обеспечить себя ресурсами для решения этих проблем киберпреступности ".

«В большинстве муниципалитетов есть подразделения по киберпреступности, которые будут реагировать», - добавил Тот из NIST.

8. Разработайте план реагирования на инциденты

«Вы не пытаетесь пристегнуть ремень безопасности во время аварии», - сказал Литтлтон из Microsoft. «Вам нужен план, изложенный как вы будете реагировать до того, как произойдет нарушение».

«Вы тоже не одиноки», - сказал Кобб из ESET. «Услуги безопасности, которые вы приобретаете с полки, обеспечивают повышенную защиту в облаке или при доступе к цепочке поставок. Они могут предоставлять услуги обнаружения и предотвращения на базовом уровне. При составлении плана убедитесь, что вы не покидаете службы безопасности. на столе, предложенном вашим MSP или службой безопасности."

9. Не оставляйте свободные концы

«Мы видим одну проблемную область - если и когда сотрудник уходит или увольняется, - доступ к его системе не прекращается немедленно», - сказал Кобб из ESET. «Малые предприятия работают с людьми, которым они доверяют, и с множеством людей, которые приходят и уходят. Иногда они не попадают в самые счастливые обстоятельства. Если у бывшего сотрудника с недовольством по-прежнему есть доступ или даже включена многофакторная аутентификация, это большая внутренняя проблема безопасности, которую мучительно легко решить ".

10. Государственные ресурсы и обучение

Правительство предпринимает серьезные шаги для решения проблемы кибербезопасности. Ранее в этом году Белый дом опубликовал концепцию кибербезопасности, и предложение президента Обамы по бюджету на 2017 год предусматривает увеличение финансирования на 35 процентов (до 19 миллиардов долларов) для борьбы с атаками кибербезопасности. Крамер из SBA и Тот из NIST указали на бесплатные правительственные ресурсы, такие как вся страница SBA о ресурсах кибербезопасности для малого и среднего бизнеса, включая советы и инструменты по кибербезопасности, набор курсов, тренингов и вебинаров.

Некоторые из самых полезных ресурсов:

• 10 лучших советов по кибербезопасности SBA
• SBA Online Course: кибербезопасность для малого бизнеса
• Инструмент оценки кибер-устойчивости (CRR)
• Малый Бизнес Кибер Планировщик
• SBA, NIST и совместные семинары ФБР по малому бизнесу
• Канал SBA на YouTube
• Ресурсный центр компьютерной безопасности NIST
• Сертификационные и образовательные программы COMPTIA для изучения протоколов безопасности MSP