ИБ-болезни малого бизнеса

Дата: 05.03.2021. Автор: Владимир Безмалый. Категории: Блоги экспертов по информационной безопасности
ИБ-болезни малого бизнеса

Рано или поздно (безусловно, лучше рано) мы задумываемся о информационной безопасности или своей компании или себя любимого или своих близких. Советов масса, но какие из них не стоит применять?

Во-первых, критически отнеситесь к советнику. Ведь он сам может быть малограмотным в конкретной области или просто дает советы, не задумываясь о последствиях. Я бы все же рекомендовал не советы, а консультации. Помните же старую историю?

— Вы можете дать совет?

— А вам совет или консультацию?

— А в чем разница?

— Совет бесплатно, консультация – за деньги.

— Тогда совет!

— Купите консультацию!

Если вы покупаете консультацию, то консультант отвечает за свои советы. Вот и вся разница. Но в любом случае вы должны понимать за что платите деньги.

С какими рисками безопасности сталкивается малый бизнес?

Большинство нарушений кибербезопасности возникает из-за типичных ошибок и вредных привычек кибербезопасности. Эти вредные привычки постепенно становятся нормой, особенно если они немного облегчают рабочий процесс. Такие привычки даже убеждают нас, что мы просто обходим бюрократизм и делаем что-то более важное. И что любопытно, компании так же легко впадают в вредные привычки к кибербезопасности, как и люди.

В большинстве случаев компании продолжают придерживаться плохих привычек к кибербезопасности, даже не осознавая, что они делают не так. Они просто не осведомлены о рисках, которым эти плохие методы обеспечения безопасности подвергают компанию.

Страшно то, что даже после того, как они стали жертвами кибератаки, они могут не осознавать, что именно их привычки заставили их стать жертвой. Хотя трудно распознать собственные вредные привычки, человеческая природа такова, что мы быстро замечаем недостатки в других.

Чтобы помочь вам распознать эти вредные привычки, мы составили список распространенных вредных привычек, связанных с кибербезопасностью. Я надеюсь, что это поможет вам распознать и избежать этих плохих методов кибербезопасности.

Вот список вредных привычек кибербезопасности, которых следует избегать:

  • Плохое управление паролями
  • Без использования 2FA/MFA
  • Отсутствие плана аварийного восстановления
  • Рассмотрение кибербезопасности как разового проекта
  • Отсутствие обновления знаний сотрудников/осведомленности о кибербезопасности
  • Чрезмерная уверенность (Думаю, что со мной этого не может случиться)

Плохое управление паролями

Короткие пароли, которые легко угадать, — это уязвимость, которой чаще всего пользуются киберпреступники. С другой стороны, длинные и сложные пароли часто трудно запомнить. Люди так боятся этого, что часто в конечном итоге используют один и тот же пароль для нескольких учетных записей. Фактически, 59% людей используют один и тот же или похожий пароль для нескольких учетных записей. Кроме того, многие записывают свои пароли там, где к ним могут получить доступ другие, или делятся ими с коллегами или членами семьи, чтобы не забыть их. Такое плохое управление паролями упрощает взлом вашей учетной записи и мошенничество.

Часто вина не в пользователях, а в суперпользователях или администраторах. Стандартные меры безопасности для доступа к сети имеют заведомо ненадежные пароли, такие как «123456», «qwerty» и «password». Эти пароли часто остаются неизменными, что позволяет злоумышленникам легко взломать вашу сеть и украсть ваши данные.

Не используется 2FA (двухфакторная аутентификация)

Нет никаких оснований для отказа от использования 2FA (двухфакторной аутентификации). Многоуровневая безопасность, такая как 2FA, состоит из OTP (одноразового пароля) в сочетании с запомненным паролем. Использование такой комбинации действительно затрудняет взлом ваших учетных записей. 2FA – отличный инструмент, он прост в реализации и обеспечивает многоуровневую безопасность, которая необходима для любого бизнеса.

Кроме того, я бы рекомендовал использовать менеджер паролей. Какой именно, выбирайте сами. Лучше вместе с Google Authenticator. Это избавит вас от запоминания паролей для всех ваших деловых, личных и социальных приложений, что может быть довольно утомительным для вашей памяти.

Забыли (не настроили) план аварийного восстановления

Большинство компаний, как правило, сосредотачиваются на превентивных мерах кибербезопасности, пренебрегая подготовкой к фактическому нарушению безопасности. Хотя активные меры кибербезопасности предотвратят большинство рисков, они не могут гарантировать 100% иммунитет к угрозам кибербезопасности. Независимо от того, насколько хорошо защищена ваша ИТ-инфраструктура, вам обязательно понадобится план аварийного восстановления.

Потеря данных – худший кошмар для владельцев бизнеса. Такая потеря может нанести непоправимый ущерб вашему бизнесу. Даже если вы вернетесь к текущему рабочему уровню, ваши клиенты, возможно, никогда больше не смогут доверять вам свои данные. Учитывая риск потери данных, надежное решение для резервного копирования и восстановления данных является обязательным условием для каждого бизнеса.

Комплексный план резервного копирования и восстановления сведет к минимуму время простоя и поможет обеспечить бесперебойную работу вашего бизнеса даже в случае бедствия, такого как атака программ-вымогателей, вирусное заражение или стихийное бедствие.

Рассмотрение кибербезопасности как разового проекта

Кибербезопасность – это не разовый проект. Вы не можете установить правила и забыть. Фактически, это одна из самых больших ошибок бизнеса. Они устанавливают некоторые политики ИТ-безопасности, внедряют некоторые инструменты кибербезопасности, а затем оставляют все как есть.

Угрозы кибербезопасности постоянно развиваются. С развитием технологий киберпреступники также становятся все более продвинутыми в своих атаках. Они постоянно работают над новыми способами использования вашего компьютера и/или сети. Для многих из них разработка этих программ — их постоянная работа.

Следовательно, чтобы ваша ИТ-инфраструктура оставалась безопасной и надежной, вам необходимо периодически пересматривать свой план и меры ИТ-безопасности. Вам необходимо проверить, актуальны ли ваши политики, инструменты и процедуры ИТ-безопасности и/или являются ли они эффективными против постоянно развивающихся угроз.

Регулярные тесты на проникновение и фишинговые тренировки помогут обнаружить уязвимости и предложить исправления до того, как они будут использованы.

Не забывайте о сотрудниках

Мы знаем, что угрозы кибербезопасности постоянно развиваются. Следовательно, чтобы противостоять им, наши знания об этих угрозах также должны идти в ногу со временем. Небольшое образование может предотвратить большинство кибератак, поскольку большинство из них можно идентифицировать.

Человеческая ошибка всегда была серьезным вызовом для кибербезопасности. Одноразовой презентации по ИТ-безопасности во время ориентации никогда не будет достаточно. В любой момент у людей в голове много вещей, и они часто выполняют несколько задач одновременно. Это может привести к потере концентрации, и все, что требуется, — это невинный щелчок по безобидно выглядящей ссылке, чтобы вызвать серьезное нарушение.

Регулярное ознакомление с угрозами кибербезопасности и профилактическими мерами, гигиеной паролей и учениями по фишингу должно быть частью вашего плана ИТ-безопасности. Периодически обсуждайте ИТ-политику вашей компании вместе со своими сотрудниками. Попытки адресного фишинга полагаются на доверчивость ваших сотрудников, которая может побудить их поделиться конфиденциальной информацией по электронной почте на поддельную учетную запись авторитетного лица. Если сотрудники знают, что политика ИТ-безопасности запрещает им обмениваться конфиденциальной информацией по электронной почте или телефону, они с меньшей вероятностью станут жертвами таких фишинговых атак.

Самоуверенность  – «Я не цель»

Самоуверенность, вероятно, является самым большим риском для безопасности вашего бизнеса. Если вы поверите, что внедрили все необходимые меры безопасности ИТ, у вас может возникнуть ложное чувство безопасности. И если в течение длительного времени не будет инцидентов с безопасностью, вы можете подумать, что вас невозможно взломать.

Кроме того, большинство малых предприятий склонны думать, что они слишком малы для киберпреступников. Но для киберпреступника вы никогда не будете слишком маленькими или слишком большими. Согласно отчету Verizon о расследовании утечек данных за 2019 год, 43% кибератак были нацелены на малый бизнес, в то время как только 14% малых предприятий оценивают свою кибербезопасность как высокоэффективную. Из-за самоуверенности и недостаточной готовности малые предприятия, как правило, очень уязвимы для заражения вредоносным ПО, атак программ-вымогателей и утечки данных.

Лучшее лекарство от этой вредной привычки – составить план, требующий от вас регулярного пересмотра мер ИТ-безопасности. Вам также необходимо быть в курсе последних событий в области кибербезопасности, киберугроз и наиболее эффективных стратегий противодействия им.

Вывод

Независимо от того, насколько мы осторожны с фишингом, взломом, программами-вымогателями и т.д., всегда существует вероятность того, что угроза может проскользнуть сквозь трещины. При правильном и частом обучении сотрудники осознают угрозы, исходящие от широкого спектра киберпреступных действий. Обучение должно быть посвящено не только внешним угрозам, но и внутренним политикам и протоколам безопасности. Хорошо информированная рабочая сила — огромный актив в вашей борьбе с киберпреступниками.

5 марта, 2021


Источник — Блог Владимира Безмалого «Быть, а не казаться. О безопасности и не только».

Владимир Безмалый

Об авторе Владимир Безмалый

Данный блог посвящен информационной безопасности и информационнм технологиям.
Читать все записи автора Владимир Безмалый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *