Video: Insinööri (AMK), kyberturvallisuus, Xamk (Lokakuu 2024)
Kansallinen pk-yritysviikko on käynnissä, ja juhlat eivät kestäneet kauan keskustelemaan yhdestä silmiinpistävimmistä ja aina läsnä olevista aiheista pienille ja keskisuurille yrityksille: kyberturvallisuuteen. Pienyrityksen hallinto (SBA) on Yhdysvaltain hallituksen virasto, jonka tehtävänä on tarjota konkreettista apua, koulutusta ja suosituksia, jotka pienyritykset voivat ottaa heti käytännössä päivittäisessä toiminnassaan. Tätä varten nykypäivän SBA-verkkoturvallisuuspaneeli tarjosi sen sijaan, että tarjoaisi vain taivaan ympäri-taivaan tietoturva-suuntauksia. PK-yrityksille annetaan konkreettisia vinkkejä, resursseja ja toimia, joita ne voivat toteuttaa turvallisuusheikkouksien lieventämiseksi ja kokonaisvaltaisen tietoturvastrategian laatimiseksi.
SBA-varavalvoja Doug Kramer valvoi turvallisuusasiantuntijoiden paneelia keskustellessaan pienyritysten suurimmista tietoturvariskeistä ja tärkeimmistä toimenpiteistä, joita he voivat toteuttaa infrastruktuurinsa ja tietonsa suojaamiseksi, pilvipohjaisen tai fyysisen. Paneelissa oli Bill O'Connell, ADP: n globaalin luottamuksen varatoimitusjohtaja; Stephen Cobb, ESET Pohjois-Amerikan vanhempi turvallisuustutkija; Matt Littleton, Microsoftin tietoturva- ja Azure-infrastruktuuripalveluiden itämainen aluejohtaja; ja Patricia (Pat) Toth, kansallisen standardi- ja teknologiainstituutin (NIST) tietoturvaosaston valvova tietotekniikan asiantuntija.
Paneelit keskustelivat verkkoturvallisuuteen liittyvistä kysymyksistä, jotka vaihtelevat tietojenkalastelusta, ransomware-ohjelmista ja rikkomusten käsittelystä siihen, kuinka pienyritysten tulisi lähestyä monitekijän todennusta (MFA), työntekijöiden tietoturvakoulutusta ja -käytäntöjä, mitä on etsittävä hallinnoidun palveluntarjoajan (MSP) sopimuksessa, ja milloin soittaa tietotekniikan konsultti.
Kramerin mukaan kyse ei ole vain työntekijöiden ja asiakkaiden luottokortti- ja pankkitiedoista, mutta teollis- ja tekijänoikeustietoyritykset sijaitsevat satamassa kaikkialla, sähköpostista pilvisäilöön ja hyökkäyspinnat, jotka voivat tehdä pienyrityksestä heikon linkin ja helpon kohteen toimitusketju. Kramerin mukaan SBA: n mukaan melkein puolet kaikista pienyrityksistä on joutunut jonkin verran tietoverkkorikoksen uhreiksi, ja hyökkäyksen keskimääräiset kustannukset ovat noin 21 000 dollaria.
"Jokainen, joka perustaa pienyrityksen, työskentelee niin ahkerasti kuin pystyy, ilman ylimääräistä aikaa tai rahaa selviytyäkseen verkkoturvallisuuteen liittyvistä haasteista, jotka saattavat maksaa odotettua enemmän ja tarkoittaa pienyrityksen elämää tai kuolemaa", muistutti SBA: n Kramer paneelina. alkoi. "Tietoverkkoon tunkeutumisen ja varkauksien uhka on erittäin todellinen. Pienyritykset mittaavat omaisuutta ja varastoja eri tavoin, mutta ne istuvat tiedon aarrearkissa."
1. Pilviturvallisuus: Tee ja älä tee
Kustannustehokkaista ja mukavuussyistä kaikkien pk-yritysten on harkittava siirtymistä pilveen, mutta siirtymisen on tapahduttava huolellisesti. Paneelit keskustelivat tärkeimmistä näkökohdista ja esteistä.
- Tee: Kasvava pilvivarmuuskopio "Pilvellä on paljon etuja ja riskejä, mutta yksi asia, jonka SMB: n kaikkien pitäisi tehdä, on varmuuskopiointi", kertoi ESET: n Cobb. "Kaikkien tiedostojen nykyinen varmuuskopiointi on paras suoja ransomware-ohjelmia vastaan ja kriittinen osa kyberturvallisuusasentoa ja puolustusta. Sinun tulisi silti varmuuskopioida kiintolevylle ja tallentaa kopio jonnekin turvalliseen paikkaan erillisessä paikassa, mutta pilvi antaa sinun varmuuskopioida jatkuvasti."
- Tee: Maksa Premium Cloud Security -palvelusta "Pienyritysten omistajat ovat tietoisia hinnoista, mutta muiden tekijöiden täytyy saada oikea paino", kertoi ADP: n O'Connell. "Joidenkin asioiden pitäisi maksaa enemmän rahaa korkeammasta palvelutasosta. Turvallisuus on yksi niistä. Älä tee vain hinnan perusteella tehtyä päätöstä."
- Älä: allekirjoita vain MSP-sopimus
"Tarkista tämä sopimus", sanoi ESET: n Cobb. "Voit ulkoistaa tallennuksen tai varmuuskopion, mutta et voi ulkoistaa vastuuta. Jos pienyrityksen omistaja sanoo, että IT-palveluntarjoajalla on kaikki asiakkaan ja työntekijän tiedot - tietosi, olet edelleen vastuussa."
"Kun kyse ei ole vain sopimuksesta, vaan tiedoista, tee tutkimustasi selvittääksesi, onko turvallisuusongelmia", lisäsi ADP: n O'Connell. "Pk-yritykselle sopimus on hyvä osa tätä puolustuslinjaa. Tutustu SLA-sopimuksiin ja pääsytasotietoihin. Kuinka kauan MSP: t säilyttävät tiedot? Mitä he tekevät sen kanssa?"
- Älä: Jätä käyttämättömät MSP-infrastruktuuriominaisuudet "Jos astut pilviympäristöön, voit siirtää osan tästä vastuusta. Emme ole enää alustan areenalla, jossa sinun on oltava huolissaan siitä, ettei henkilöstöllä ole mitään mahdollisuutta vastata ongelmaan tai korjata palvelinta", Microsoftin mukaan Littleton. "Siellä palveluntarjoaja voi astua sisään ja hoitaa sen puolestasi. Sinun on ymmärrettävä, mihin olet tekemisissä sopimuksen kannalta ja mitä palveluita pilvipalveluntarjoaja tarjoaa."
2. Monitekijätodennus: Tee vain se
"Sekä henkilökohtaisesta että liiketoiminnallisesta näkökulmasta katsottuna, MFA on jotain, jonka voit tehdä heti. Yrityksillä ei ole tekosyytä olla tekemättä tätä heti", sanoi Microsoftin Littleton. "Se on helppoa koko Microsoftin tuotepinoa; sama pätee Googlelle, Yahoo: lle, nimeät sähköpostipalveluntarjoajan. Tarkista suojausasetuksesi ja vaadi jokaista työntekijää antamaan matkapuhelinnumeronsa toisena tekijänä. Sitten, vaikka olenkin hyökkääjä ja varastamme salasanasi, en voi käyttää sitä, ellei varasta matkapuhelintasi ja tiedä PIN-koodia."
3. Milloin soittaa tietoturvakonsulttille
" Tulee olemaan asioita, joita et voi yksin tehdä pienyrityksen omistajana", sanoi ADP: n O'Connell. "Erittäin tärkeiden sopimusten osalta saat ulkopuolista juridista neuvontaa. Vuotuisen ja neljännesvuositilinpidon osalta sinulla on kirjanpitäjä. Sama pätee turvallisuusasiantuntemukseen. Kun sinun on testattava sivusto verkkosivuturvallisuuden varmistamiseksi tai tehtävä riskinarviointi, se on rahaa, joka käytettiin hyvin, jos sinulla ei ole asiantuntemusta tehdä se itse. Et itse tee rakennuksen sähkö- tai putkityötä. Kyse on tiedosta, milloin tarvitset apua."
4. Turvallisuus on osa kaikkien työtä
"Et voi luottaa vain yhteen henkilöön kymmenen hengen yrityksessä; jokaisella on oltava hyvä ymmärrys kyberturvallisuudesta ja siitä, mitkä riskit ovat organisaatiolle", NIST: n Toth sanoi. "Jos he eivät tee sitä, heidän työnsä voi olla vaarassa, jos rikkomuksia ei esiinny ja yritys ei voi elpyä."
"Tee turvallisuudesta osa jokaisen henkilön työtä", lisäsi ADP: n O'Connell. "Taloushallinnosta vastaava henkilö - mitä heidän on tehtävä päivittäin? Kuka fyysisesti puoli lukitsee oven yöllä? Jokaisen on tiedettävä komponentit ja kuinka heidän roolinsa sopii yrityksen yleiseen turvallisuuteen."
5. Älä ole heikko toimitusketjun lenkki
Kuten SBA: n Kramer selitti, pk-yritysten ja yritysten välillä ei ole enää jakoa. Pienyritykset joko haluavat kasvaa ja laajentua, tai he ovat liittämässä yrityksiä ohjelmistojen ja palveluiden toimitusketjuun. Ongelmana on, että SMB: n turvallisuuskäytännöt eivät välttämättä vastaa tasoa toimitusketjuyrityksestä, jonka kanssa he etsivät kumppania.
"Kun pk-yritys on tekemässä ensimmäistä suurta sopimusta suuren yrityksen kanssa ja he pyytävät lukemaan tietoturvakäytäntösi ja tietoisuusohjelmasi, sinun ei pitäisi yrittää tarkistaa kaikkea tarkistusluettelosta", kertoi ESET: n Cobb. "Toimitusketjun riski ylös ja alas on huolestuttava. Jos SMB on vuorovaikutuksessa digitaalisesti tavarantoimittajan kanssa, tarkista se. Sinulla on oltava suojauskäytännöt ja koulutus, jotta siitä ei tule este."
"Yksikään yritys ei ole liian pieni, jotta se voidaan kohdistaa verkkoareenalle, etenkin toimitusketjun hallinnasta", totesi Microsoftin Littleton. "Monet rikkomukset eivät alkaa huipusta; ne alkavat jostakin toimitusketjun osasta ja hyökkääjät työskentelevät kohti lopullista tavoitetta."
NIST: n Toth sanoi seuraavien kahden vuoden aikana, että valtion virastot alkavat julkaista sääntöjä pääsystä toimitusketjujärjestelmiin. Sillä välin hän sanoi, että pk-yrityksillä on oltava suunnitelma paikallaan.
"Suunnittelulla on korvaamatonta tietää, mikä on todella tärkeää; että yksi asia, jota sinun on suojattava, ja miten yrityksesi toimisi, jos siihen ei päästä", sanoi NIST: n Toth. "Pk-yrityksillä on oltava suunnitelmat, politiikat ja menettelyt paikoillaan. Ei suuri hallituksen lähestymistapa; se voi olla yhtä yksinkertainen kuin työntekijän käsikirjassa esitetyt politiikat, joissa sanotaan, mitä he voivat ja mitä eivät voi tehdä Internetissä, miten huijaushyökkäys havaitaan., ja milloin linkkejä ja liitteitä voi avata eikä avata."
6. Käsittele sähköpostia kuten postikorttia, ei kirjekuorta
"Ensimmäinen tehtävä sähköpostina toimivana pienyrityksenä on miettiä, mitä siinä on. Jos aion hakkeroida jonkun yritystietoja, heidän sähköpostissaan on usein kaikki hyvät asiat", kertoi ESET: n Cobb. "Ihmiset eivät usein ajattele, mitä he jättävät sinne. Katsokaa Sony-hakkerointia; ihmiset sanoivat asioita sähköpostitse, minkä heidän ei olisi pitänyt olla. Sähköposti on postikortti, ei sinetöity kirjekuori. Pidä tämä mielessä."
"Kyse on myös lisääntyvästä kyvystä hallita tietoja", sanoi Microsoftin Littleton. "Saattaa olla rahaa arvoista käyttää salattua sähköpostipalvelua saapuvan suodatuksen kanssa, joka vähentää hyökkäyspintaasi. Jos jätit luottokorttinumerosi sähköpostiin, palvelu kysyisi, haluatko todella lähettää sen, ja sitten salaa automaattisesti vain numero, mutta koko sähköposti. Alan kehittyessä nämä palvelut ovat entistä järkevämpiä ja yleisempiä."
7. Ilmoita aina tapauksista
SBA: n Kramer selitti, että kun pienyritystä rikotaan tai se osuu tietojenkalasteluhuijaukseen tai ransomware-pyyntöön, heidän on tiedettävä kenelle soittaa. ESET: n Cobb totesi, että jos pienyritykset eivät ilmoita tästä poliisille pelkääessään, että lainvalvonnalla ei ole resursseja tutkiakseen, sykli jatkuu.
"Meillä on valitettava jakso, jossa lainvalvontaviranomaiset saavat rahoitusta ilmoitettujen rikosten perusteella, mutta ihmiset eivät ilmoita rikoksista, koska he eivät usko, että poliisilla on resursseja", kertoi ESET: n Cobb. Jos kukaan ei ilmoita, poliisilla ei ole koskaan todisteita varustaakseen resursseja näiden tietoverkkorikollisuutta koskevien kysymysten käsittelemiseksi."
"Useimmissa kunnissa on tietoverkkorikollisuusyksiköitä ja ne vastaavat", lisäsi NIST: n Toth.
8. Ota käyttöön vaaratilanteiden vastainen suunnitelma
"Et yritä laittaa turvavyötäsi onnettomuuden keskellä", sanoi Microsoftin Littleton. "Tarvitset suunnitelman, jonka avulla pystyt reagoimaan, ennen kuin rikkomus tapahtuu."
"Et myöskään ole tässä täysin yksin", sanoi ESETin Cobb. "Hyllyltä ostamasi turvallisuuspalveluiden suojaus paranee pilvissä tai pääsyyn toimitusketjuun. Ne saattavat tarjota havaitsemis- ja ehkäisypalveluita perustasolla. Suunnitelmaa laatiessasi varmista, että et poistu turvallisuuspalveluista. MSP: n tai turvapalvelun tarjoamalla pöydällä."
9. Älä jätä löysät päät
"Yksi näkemämme ongelma-alue - jos ja kun työntekijä poistuu tai erotetaan - hänen järjestelmän käyttöoikeuttaan ei lopeteta heti", kertoi ESET: n Cobb. "Pienyritykset työskentelevät luotettaviensa ihmisten kanssa, ja monet tulevat ja menevät. Toisinaan he eivät mene onnellisimmissa olosuhteissa. Jos entisellä työntekijällä, jolla on nöyrä, on edelleen pääsy tai edes silti heidän monitekijäinen todennus on käytössä, se on iso sisäpiiriläisten turvallisuusongelma, joka on tuskallisen helppo ratkaista."
10. Valtion resurssit ja koulutus
Hallitus ryhtyy merkittäviin toimiin kyberturvallisuuden torjumiseksi. Valkoinen talo julkaisi verkkoturvallisuuskehyksen aiemmin tänä vuonna, ja presidentti Obaman vuoden 2017 talousarvioesityksessä pyritään lisäämään rahoitusta 35 prosentilla (19 miljardiin dollariin) kyberturvallisuushyökkäysten torjumiseksi. SBA: n Kramer ja NIST: n Toth viittasivat ilmaisiin julkisiin resursseihin, kuten SBA: n koko pk-yritysten tietoturvaresurssien sivu, mukaan lukien kyberturvallisuusvihjeitä ja työkaluja, kokoelma kursseja, koulutuksia ja webinaareja.
Jotkut hyödyllisimmät resurssit ovat:
- SBA: n kymmenen tärkeintä verkkoturvallisuusvinkki
- SBA-verkkokurssi: Tietoturva pienyrityksille
- Cyber Resilience Review (CRR) arviointityökalu
- Pieni Biz Cyber Planner
- SBA, NIST ja FBI: n yhteiset pienyritysten työpajat
- SBA: n YouTube-kanava
- NIST: n tietoturvaresurssikeskus
- COMPTIA: n sertifikaatit ja koulutusohjelmat MSP-tietoturvaprotokollien oppimiseksi
