Cyberbezpieczeństwo dla małych firm: Podręcznik właściciela firmy dotyczący bezpieczeństwa online i ochrony Twoich interesów w Internecie

Niezbędny przewodnik po cyberbezpieczeństwie dla małych firm

Cyberbezpieczeństwo małych firm to coś, czego żadna firma nie powinna ignorować. Jest tak niezależnie od tego, jak „mała” lub „nieważna” może być postrzegana przez poszczególne firmy.

Wielkie historie o cyberbezpieczeństwie koncentrują się na takich sprawach, jak ogromne naruszenie danych w Yahoo lub hackowanie ransomware w 2017 r. W brytyjskiej National Health Service. Jednak o wiele mniejsze organizacje są ofiarami cyberprzestępców każdego dnia.

Statystyki są przerażające: 43% cyberataków jest ukierunkowanych szczególnie na małe firmy. Ponadto 60% małych firm doświadczających cyberataków zakończyć działalność w ciągu najbliższych sześciu miesięcy.

Jeśli jesteś właścicielem małej firmy i nie traktujesz poważnie cyberbezpieczeństwa, chodzisz po niesamowicie cienkim lodzie.

Ten szczegółowy przewodnik pomoże ci dowiedzieć się dokładnie, jakie niebezpieczeństwa napotykasz. Pokaże także, jak maksymalnie ograniczyć ryzyko.

Jak ewoluowała cyberbezpieczeństwo w biznesie?

Firmy muszą dbać o bezpieczeństwo online, odkąd łączność internetowa stała się powszechna. Jednak tempo ewolucji cyberprzestępczości jest oszałamiające.

Według prognoz Jupiter Research, same naruszenia danych będą kosztować firmy do 2 bilionów dolarów rocznie do 2020 roku. Chociaż liczba ta jest oszałamiająca, jeszcze bardziej szokujące jest to, że liczba ta wzrośnie czterokrotnie w ciągu zaledwie czterech lat. Cyberprzestępczość osiągnęła imponujące rozmiary. Dawno minęły czasy, gdy właściciele firm musieli się upewnić, że ich lokalna firma informatyczna zainstalowała aktualne oprogramowanie antywirusowe!

Jako przykład rozważmy ransomware. Ransomware blokuje i szyfruje pliki, dopóki użytkownicy nie zapłacą hakerom za ich odszyfrowanie. Było to w centrum wielkiego hacka NHS wspomnianego powyżej. Ransomware zostało „wynalezione” w 1996 r. I zauważone „na wolności” od około 2005 r. Stało się powszechne w latach 2012/13. To pokazuje, jak zagrożenia ewoluują w czasie. Dowodzi również, że zawsze będzie coś nowego, czekającego na biznes i nagłówki.

Hakowanie może być niezwykle intratne. W związku z tym hakerzy nie znikną ani nie przestaną tego, co robią. Oznacza to, że firmy każdej wielkości muszą pracować, aby być o krok do przodu.

Czym różni się cyberbezpieczeństwo biznesowe od osobistego cyberbezpieczeństwa??

Cyberbezpieczeństwo w małych firmach bardzo różni się od dbania o bezpieczeństwo na prostym komputerze domowym. Jeśli komputer domowy zostanie uderzony, na przykład, atakiem typu ransomware, istnieje limit szkód, które można wyrządzić. Jeśli nie ma żadnych kopii zapasowych do przywrócenia, może to okazać się katastrofą, nawet jeśli oznacza to tylko wybór między okupem a utratą rodzinnych zdjęć i innych wspomnień.

W przypadku małej firmy wpływ może być znacznie większy. Być może będziesz musiał poinformować klientów, że ich dane i informacje finansowe są „na wolności” i potencjalnie są sprzedawane w ciemnej sieci. Możesz stracić zdolność do przetwarzania transakcji i brać pieniądze na jeden dzień lub dłużej.

Bez względu na dokładny wynik, nigdy nie będzie dobry. Cyberbezpieczeństwo biznesu jest niezwykle ważne i wymaga znacznie więcej niż korzystania z oprogramowania antywirusowego.

Dlaczego cyberbezpieczeństwo ma znaczenie?

Omówiłem krótko kilka możliwych skutków naruszenia danych lub cyberataku. Zobaczmy, co może się zdarzyć bardziej szczegółowo.

  • Strata finansowa

Pieniądze są zwykle motywem cyberataków. W chwili pisania tego artykułu nikt nie jest pewien, kto stał za atakiem ransomware WannaCry, który uderzył w brytyjską służbę zdrowia i wiele innych organizacji na całym świecie. Jednak zysk finansowy był wyraźnym motywem. Hakerzy zażądali pieniędzy, przekazanych w formie anonimowych bitcoinów, w zamian za deszyfrowanie zainfekowanych maszyn.

Niektóre organizacje ostatecznie płacą hakerom, prawdopodobnie dlatego, że nie mieli użytecznych kopii zapasowych. Jednak suma ta była kroplą w oceanie w porównaniu do prawdziwej straty finansowej spowodowanej włamaniem.

Uważa się, że hakerzy zgromadzili około 100 000 $ z pieniędzy „okupu”. Mimo to całkowity koszt ataku szacuje się na 1,5 miliarda dolarów. Wynika to z ogromnej ilości pracy, którą firmy muszą podjąć, aby wyjść z takich zdarzeń. Ta praca zazwyczaj polega na przywracaniu kopii zapasowych, odbudowywaniu sieci i wspieraniu systemów przed przyszłymi atakami, jednocześnie obserwując spadające przychody. Przychody są tracone, a firmy nie są w stanie właściwie funkcjonować w następstwie. Istnieje również fakt, że klienci tracą zaufanie i wycofują się.

Mniejsze firmy często mają ograniczony budżet. W związku z tym nie jest tak popularny, aby powodować poważne problemy finansowe. „Rachunek za sprzątanie” w wysokości kilku tysięcy dolarów w połączeniu z kilkudniową utratą handlu może wystarczyć, by doprowadzić firmę na skraj bankructwa.

  • Uszkodzenie reputacyjne

Szkody reputacyjne i straty finansowe często tworzą błędne koło dla firm po cyberataku. Klienci tracą zaufanie do firm, które doznały naruszenia, szczególnie jeśli dane osobowe lub finansowe zostały naruszone.

Badanie PWC z 2016 r. Wykazało, że uszkodzenie reputacji „zostało uznane za najbardziej szkodliwy wpływ cyberprzestępczości”.

  • Przerwanie działalności gospodarczej

Jeśli Twoja firma zmierzy się z cyberatakiem lub usunie szkody po nim, Ty i Twój zespół nie będziecie mieć środków, aby normalnie prowadzić firmę.

Nasilenie tego może się różnić. Jeśli na przykład przetwarzasz transakcje za pośrednictwem strony internetowej i musisz przełączyć je w tryb offline, przepływ dochodu zostanie zatrzymany do momentu rozwiązania problemu. Alternatywnie możesz zobaczyć, że pracownicy nie mogą pracować, dopóki nie naprawisz lub nie przywrócisz ich komputerów.

Ostatecznie nie ma to dobrego wpływu, stąd potrzeba zrobienia wszystkiego, co możliwe, aby zmniejszyć zagrożenie cyberatakami.

Jakie są najważniejsze zagrożenia cyberbezpieczeństwa dla małych firm?

Krajobraz zagrożeń cyberbezpieczeństwa zmienia się cały czas. Nowe metody ataku stają się popularne, podczas gdy inne wymykają się z łask. Jednak kluczowe zagrożenia pozostają takie same. Oto niektóre z najważniejszych, o których należy pamiętać.

Ransomware

Wspominaliśmy już o oprogramowaniu ransomware. To dlatego, że jest bardzo obecny w świecie cyberbezpieczeństwa, bez śladu jego popularności. Hakerzy mogą łatwo atakować wiele firm i osób korzystających z oprogramowania ransomware za jednym razem. Dotyczy to szczególnie infekcji takich jak WannaCry, które mogą rozprzestrzeniać się gwałtownie przez sieci. Władze mają również stosunkowo trudności ze śledzeniem źródła.

Czynniki te w połączeniu z wyraźnym potencjałem finansowym sprawiają, że oprogramowanie ransomware jest bardzo atrakcyjne dla cyberprzestępców. Pod koniec 2016 roku Kaspersky widział, jak hansuje oprogramowanie ransomware jedna firma co 40 sekund i nowy osobnik co 10 sekund.

Chmura ma niewielką srebrną podszewkę: oprogramowanie ransomware jest naprawdę dość łatwe do ochrony. Kluczem jest posiadanie pełnych, aktualnych kopii zapasowych oraz szybkie, wypróbowane i przetestowane sposoby ich przywracania. Nadal będziesz musiał podjąć działania, aby wyzdrowieć po ataku. Jednak hakerzy nie mogą zarobić, jeśli nie potrzebujesz od nich danych.

UWAGA: Ransomware nie zawsze obejmuje szyfrowanie danych. Niektóre zagrożenia wiążą się z zablokowaniem komputera lub urządzenia, co czyni go bezużytecznym do momentu zapłacenia okupu. Pod warunkiem, że możesz ponownie zainstalować komputer, możesz usunąć infekcję. Najgorszym scenariuszem z oprogramowaniem ransomware jest zaszyfrowanie danych i brak kopii zapasowej do przywrócenia.

Wyłudzanie informacji

Większość użytkowników technologii przynajmniej widziała kilka prób phishingu, nawet jeśli nie padła ich ofiarą.

Na podstawowym poziomie phishing polega na wysyłaniu fałszywych wiadomości e-mail rzekomo pochodzących z prawdziwych stron internetowych i firm. Są one często związane z bankowością lub zakupami online. Ludzie, którzy są oszukani przez te e-maile, zwykle trafiają na (czasem bardzo realistyczne) fałszywe strony logowania. Tam wprowadzają swoje nazwy użytkowników, hasła i inne dane osobowe. To przekazuje informacje bezpośrednio hakerom.

Wiele wiadomości phishingowych można łatwo zidentyfikować dla wyszkolonego oka. Zazwyczaj pochodzą z domen, które nie są oryginalne, takich jak paypalcustomersupport.com, a nie paypal.com. Jednak cyberprzestępcy mogą wysłać dziesiątki tysięcy naraz. W związku z tym hakerzy nie potrzebują wysokiego wskaźnika trafień, aby czerpać zyski z ludzi, którzy się w nich zakochują.

Programy antywirusowe i filtry antyspamowe stają się coraz bardziej wyrafinowane. Coraz lepiej radzą sobie z powstrzymywaniem wiadomości phishingowych lub przynajmniej filtrowaniem ich do folderów „śmieci”. Jednak niektórzy nieuchronnie przedostają się i służą swojemu przestępczemu celowi.

Spear Phishing

Podstawowe ataki typu „phishing” nie są jedynym zagrożeniem cyberbezpieczeństwa, o które muszą się martwić małe firmy. Wyłudzanie informacji może być o wiele bardziej wyrafinowane i czasami obejmuje element ludzki.

Oszustwa telefoniczne są szczególnie popularne. Małe firmy (i osoby fizyczne) są często celem ataków. Hakerzy dzwonią do firmy i udają, że pochodzą z firmy Microsoft lub innej dużej firmy technologicznej. Mówią, że istnieje problem techniczny, który wymaga naprawy i przekonania niczego niepodejrzewających użytkowników do przyznania im zdalnego dostępu do komputera. Po uzyskaniu dostępu mogą bardzo łatwo zainstalować oprogramowanie do rejestrowania kluczy lub inne niebezpieczne programy. Następnie mogą je wykorzystać do zebrania danych osobowych lub uzyskania dostępu do systemu w przyszłości.

Jest coraz gorzej. Wyłudzanie informacji jest wysoce ukierunkowaną próbą uzyskania dostępu do określonych komputerów w celu uzyskania finansowej korzyści.

Działa to w ten sposób. Haker dzwoni do firmy, jak opisano powyżej, i uzyskuje dostęp do komputera biurowego. Następnie ustalają, która maszyna firmowa jest używana do płac. W dniu wypłaty uzyskują dostęp do tego komputera i przekierowują wszystkie wypłaty wynagrodzenia na własne konto.

To może brzmieć jak science fiction, ale tak naprawdę nie jest. Co więcej, cyberprzestępcy często atakują szczególnie małe firmy tego rodzaju atakami. Istnieją różne przykłady tego wydarzenia online.

Ataki na strony internetowe

Małe firmy ze znaczącą obecnością w Internecie, zwłaszcza te, które robią interesy na stronach internetowych, muszą rozważyć zagrożenia dla swoich stron internetowych. Należą do nich zastrzyki SQL i ataki Denial of Service (DoS).

Niektóre z tych ataków mają określony motyw, na przykład ujawnianie danych osobowych przechowywanych w internetowych bazach danych. Inne są z natury bardziej „bezmyślne”. Ich celem jest sprowadzenie stron internetowych, czasem tylko za odrobinę uznania w społeczności hakerów.

Podobnie jak w przypadku innych zagrożeń, błędem jest zakładanie, że cyberprzestępcy atakują tylko duże firmy. Codziennie włamywanych jest ponad 30 000 witryn. Najwyraźniej nie są to wszyscy Yahoos i Ashley Madisons!

Tradycyjne wirusy i trojany

Wirusy i trojany „oldschoolowe” mogą obecnie nie być tak popularne w nagłówkach, ale wciąż tam są. Codziennie dotykają słabo chronione małe firmy.

Począwszy od rejestratorów kluczy, które zbierają dane logowania i dane osobowe, po złośliwe programy, które pomagają spamerom w wysyłaniu wiadomości e-mail typu phishing, wirusy nadal stanowią bardzo istotną część zbrojowni cyberprzestępców.

Najczęstszy błąd cyberbezpieczeństwa w małych firmach

Największym błędem cyberbezpieczeństwa w małych firmach jest założenie, że „to mi się nie przydarzy”.

Jeśli uważasz, że przesadzamy, zapoznaj się ze statystykami bezpieczeństwa cybernetycznego w dalszej części tego artykułu.

Jakie środki ostrożności powinny podjąć firmy?Cyberbezpieczeństwo 06

  1. Edukuj wszystkich użytkowników systemu

Często jest to ludzka porażka, która skutkuje udanym cyberatakiem lub naruszeniem bezpieczeństwa. Skuteczne wyłudzanie informacji i wyłudzanie informacji jest uzależnione od tego, że ktoś zostanie oszukany, aby odpowiedzieć na przekonującą wiadomość e-mail lub wprowadzić dane osobowe na fałszywej stronie internetowej. Podobnie wiele wirusów jest uruchamianych, gdy niczego niepodejrzewający użytkownicy dwukrotnie klikną załącznik e-mail i zainstalują coś, czego nie powinni.

Dlatego ważne jest, aby każdy, kto pracuje dla Twojej małej firmy, był dobrze wykształcony w zakresie cyberbezpieczeństwa. Musisz także na bieżąco informować ich o nowych zagrożeniach. Poziom wiedzy technicznej i kompetencji jest bardzo zróżnicowany. Jako taki, nigdy nie zakładaj, że twoi pracownicy są równie bystrzy, jeśli chodzi o realia życia online.

  1. Korzystaj z aktualnego oprogramowania zabezpieczającego, poprawek i sprzętu

Dobrej jakości, aktualne oprogramowanie antywirusowe jest koniecznością na wszystkich komputerach firmy. Oznacza to oprogramowanie komercyjne, ponieważ w darmowych wersjach często brakuje ważnych funkcji. Ponadto firmy produkujące oprogramowanie czasami zarabiają na danych osobowych i historii przeglądania, jeśli nie otrzymują zapłaty za faktyczną sprzedaż swoich produktów.

Ochrona przed cyberatakami oznacza także stosowanie trudnych zapór ogniowych na stronach internetowych i systemach firmy. Musisz także regularnie załatać wszystko. Przez „wszystko” naprawdę rozumiemy wszystko - od wtyczek na stronach WordPress po aktualizacje systemu operacyjnego na komputerach firmowych.

Jednym z powodów, dla których ogromny atak WannaCry rozprzestrzenił się tak szybko, jest to, że był w stanie poruszać się między tysiącami nie łatanych komputerów z systemem Windows. Lepsze zarządzanie aktualizacjami mogło znacznie przyczynić się do spowolnienia propagacji.

  1. Pamiętaj o urządzeniach mobilnych

Smartfony i tablety są szeroko stosowane. Dlatego konieczne jest włączenie ich do strategii bezpieczeństwa cybernetycznego. „Mobilnego szkodliwego oprogramowania” nie brakuje, a miliony urządzeń zostają zainfekowane.

Dziwne może się wydawać, że telefony komórkowe potrzebują antywirusa, ale urządzenia firmowe przechowujące informacje o firmie powinny być traktowane nie inaczej niż komputery.

  1. Sidestep Łatwo uniknąć niebezpieczeństw

Ludzie, którzy popełniają proste błędy w korzystaniu z technologii, ułatwiają życie cyberprzestępcom. Mimo że cyberbezpieczeństwo regularnie trafia na nagłówki gazet, ludzie nadal używają haseł, takich jak „123456” i „qwerty”. Takie praktyki wyjęte spod prawa są natychmiast stosowane w małej firmie!

Podobnie wiele osób łączy się z niebezpiecznymi publicznymi sieciami Wi-Fi bez zastanowienia, wykorzystując je do pracy na danych firmy. Pracownicy powinni zawsze korzystać z odpowiedniej wirtualnej sieci prywatnej (VPN), jeśli zamierzają to zrobić.

  1. Pomyśl o bezpieczeństwie fizycznym

Cyberbezpieczeństwo to nie tylko instalacja oprogramowania antywirusowego i używanie zapór ogniowych. Jeśli chcesz ułatwić hakerowi dostęp do danych biznesowych, po prostu zostaw okno biura otwarte lub laptop firmowy bez ochrony na ruchliwym pasku.

  1. Szyfruj urządzenia firmy

Warto wymusić stosowanie pełnego szyfrowania dysku na wszystkich urządzeniach firmy. Jeśli dysk twardy lub SSD jest zaszyfrowany, każdy, kto kradnie maszynę, będzie mógł zobaczyć śmieci tylko wtedy, gdy nie będzie miał haseł ani kluczy szyfrujących.

Zaszyfrowanie urządzeń jest łatwe. Nowoczesne komputery Apple Mac są standardowo wyposażone w funkcję szyfrowania. Microsoft ma taką możliwość w „profesjonalnych” wersjach systemu Windows. Istnieją również narzędzia innych firm, aby to umożliwić. Nawet telefony z Androidem mogą być w pełni szyfrowane.

Chcesz szyfrować ruch internetowy na wielu urządzeniach? Router VPN to idealne rozwiązanie, kliknij link, aby uzyskać więcej informacji.

  1. Bądź na bieżąco z Cybersecurity News

Śledzenie na bieżąco najnowszych wiadomości na temat bezpieczeństwa cybernetycznego może uchronić Cię przed ofiarą kolejnego wielkiego naruszenia lub włamania. W przypadku naruszenia WannaCry, tak szeroko wykorzystywana luka została opublikowana szeroko na miesiąc przed hackem, który trafił na pierwsze strony gazet - i tam dostępna była łatka.

Firmy, które były na bieżąco z takimi wiadomościami, miały czas i wiedzę, aby się zabezpieczyć.

Statystyka cyberbezpieczeństwa dla małych firm

Na wypadek, gdyby ten artykuł nie przestraszył Cię jeszcze do działania, oto kilka ostatnich statystyk dotyczących cyberbezpieczeństwa, które przedstawiają skalę tych zagrożeń:

  • 55% firm ankietowanych w ostatnim badaniu doświadczyło pewnego rodzaju cyberataku w ciągu ostatnich 12 miesięcy.
  • 65% małych firm nie egzekwuje zasad dotyczących haseł, mimo że jest to łatwy sposób na zwiększenie bezpieczeństwa IT.
  • Pomimo wyraźnego znaczenia edukacji użytkowników badanie brytyjskich firm wykazało, że 81% nie zapewnia swoim pracownikom żadnych szkoleń w zakresie bezpieczeństwa cybernetycznego.
  • Zapotrzebowanie na oprogramowanie ransomware wzrosło o 266% W minionym roku.
  • W 2016 r. Naruszono jeden miliard rekordów kont internetowych - trzy na każdego obywatela USA.
  • Obecnie dostępnych jest 37 milionów aplikacji zawierających złośliwe oprogramowanie.
  • 43% zagrożeń cyberbezpieczeństwa to skierowany do małych firm.

Wskazówki dotyczące cyberbezpieczeństwa dla małych firm

Kończymy krótkimi wskazówkami, aby powtórzyć kluczowe punkty tego artykułu i zapewnić dodatkowe porady.

  1. Nie zapomnij edukować swoich pracowników i interesariuszy w zakresie cyberbezpieczeństwa. Zamknięty zespół może wiele zrobić, aby pomóc chronić Twój mały biznes.
  2. Poświęć czas, wysiłek i zasoby na cyberbezpieczeństwo. To natychmiast stawia Cię o krok przed wieloma małymi firmami, które tego nie robią.
  3. Nie popełniaj prostych błędów, które mogą zagrozić bezpieczeństwu danych Twojej firmy. Egzekwować korzystanie z silnych haseł i sieci VPN do publicznego Wi-Fi, dzięki polityce firmy.
  4. Nie polegaj na darmowym oprogramowaniu do ochrony urządzeń firmowych. Cena opcji komercyjnych blednie w porównaniu z kosztem odzyskania po naruszeniu.
  5. Zawsze zachowuj sceptyczne podejście do ujawniania jakichkolwiek danych osobowych w Internecie. Upewnij się, że twoi pracownicy robią to samo.
  6. Utwórz kopię zapasową danych firmy regularnie i konsekwentnie. Możliwość przywracania z kopii zapasowej może znacznie pomóc w szybszym odzyskaniu po każdym naruszeniu. Znajdziesz tutaj przewodnik po tworzeniu kopii zapasowych dla małych firm.
  7. Nie spiesz się, aby zidentyfikować swoje obecne niedociągnięcia w zakresie bezpieczeństwa cybernetycznego i zaplanuj ich usunięcie. Jeśli nie masz wiedzy, aby wdrożyć to, co jest wymagane, zapłać zaufanemu konsultantowi, który zrobi to za Ciebie.
Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me