Av Ron Teixeira
I løpet av de siste to årene har det vært en rekke høyprofilerte databruddssaker som involverer store selskaper. Selv om dette kan gi oppfatningen om at bare store selskaper er målrettet av hackere og tyver, er realiteten at hackere i økende grad målretter mot små bedrifter fordi de vanligvis ikke har ressurser eller kunnskap som store selskaper gjør.
Det betyr imidlertid ikke at små bedrifter trenger å bruke en stor sum penger og ressurser for å beskytte seg for de nyeste truslene. Faktisk, ifølge en fersk Symantec Threat Report, kunne 82% av dataene som ble tapt eller stjålet, vært unngått dersom virksomheten fulgte en enkel nettverkssikkerhetsplan.
For å begynne å utvikle en sikkerhetsplan for cyber, må du forstå Internett-truslene, og hvordan å beskytte virksomheten din mot disse truslene påvirker direkte bunnlinjen din direkte. Som et resultat av dette utviklet National Cyber Security Alliance, som inkluderer partnere for Homeland Security, Federal Bureau of Investigations, Small Business Administration, Nasjonalt institutt for standarder og teknologi, Symantec, Microsoft, CA, McAfee, AOL og RSA. 5 trusler din småbedrift kan møte på Internett, forretningssaker om hvordan disse truslene kan skade deg og praktiske tiltak du kan ta for å unngå disse truslene.
Her er et sammendrag av de fem største truslene:
- # 1: skadelig kode. En nordøstproduksjonsfirma for programvarebomb ødela alle selskapsprogrammer og kodegeneratorer. Deretter mistet selskapet millioner av dollar, ble avviklet fra sin posisjon i bransjen og til slutt måtte legge ned 80 arbeidere. For å sikre at dette ikke skjer for deg, installer og bruk anti-virusprogrammer, anti-spywareprogrammer og brannmurer på alle datamaskiner i bedriften din. Videre må du sørge for at all dataprogramvare er oppdatert og inneholder de nyeste oppdateringene (dvs. operativsystem, antivirus, anti-spyware, antiadware, brannmur og kontorautomatiseringsprogramvare).
- # 2: Stolt / tapt bærbar eller mobil enhet. I fjor ble en avdeling for Veterans Affairs arbeidstaker stolen fra hjemmet sitt. Den bærbare datamaskinen inneholdt 26,5 millioner veteraneres medisinske historie. Til slutt ble den bærbare datamaskinen gjenopprettet og dataene ble ikke brukt; VA måtte imidlertid varsle 26,5 millioner veteraner av hendelsen, noe som resulterte i kongressens høringer og offentlig kontroll. For å sikre at dette ikke skjer med deg, må du beskytte kundens data når du transporterer det hvor som helst på en bærbar enhet ved å kryptere alle dataene som ligger i den. Krypteringsprogrammer koder for data eller gjør det ulæselig for utenforstående, inntil du skriver inn et passord eller krypteringsnøkkel.
- # 3: Spyd Phishing. En mellomstore sykkelprodusent stolte sterkt på e-post for å drive virksomhet. I løpet av en virkedag mottok selskapet så mange som 50 000 spam- og phishing-e-poster. I ett tilfelle mottok en ansatt en e-postadresse med "spyd phishing" som så ut som det kom fra IT-avdelingen, og ba medarbeideren om å bekrefte "administratorpassordet." Heldigvis for selskapet da ansatten spurte linjeleder for " administratorpassord "han undersøkte videre og innså at e-posten var en svindel. For å sørge for at dette ikke skjer for deg, instruer alle ansatte til å kontakte sjefen sin, eller bare hente telefonen og kontakt personen som sendte e-posten direkte. Det er viktig å gjøre medarbeiderne oppmerksomme på hva et speilfiskeangrep er, og å være på utkikk etter noe i deres innboks som ser mistenkelig ut.
- # 4: usikrede trådløse Internett-nettverk. Ifølge nyhetsrapporter trakk hackere av de "største databruddene noensinne" gjennom et trådløst nettverk. En global detaljhandelskjede hadde over 47 millioner kunders økonomiske opplysninger stjålet av hackere som sprakk gjennom et trådløst nettverk som var sikret med den laveste krypteringsformen som var tilgjengelig for selskapet. For øyeblikket har dette sikkerhetsbruddet kostet selskapet 17 millioner dollar, og spesielt 12 millioner dollar i ett kvartal alene eller 3 cent per aksje. For å sørge for at dette ikke skjer for deg, gjør høne et trådløst nettverk, må du passe på at standardpassordet endres og sørg for at du krypterer det trådløse nettverket ditt med WPA (Wi-Fi Protected Access).
- # 5: Insider / Utilfreds Employee Threat. En tidligere ansatt for et selskap som håndterer flyoperasjoner for store bilforetak, slettet kritisk ansettelsesinformasjon to uker etter at han ble fratatt sin stilling. Hendelsen forårsaket rundt $ 34 000 i skader. For å sikre at dette ikke skjer for deg, dele kritiske funksjoner og ansvar blant ansatte i organisasjonen, og begrense muligheten for at en person kan begå sabotasje eller svindel uten hjelp fra andre ansatte i organisasjonen.
Les videre for mer informasjon og detaljerte råd om hvordan du beskytter ditt datasystem -
1. Ondsinnelig kode (Spyware / Virus / Trojan Horse / Worms)
Ifølge en 2006 FBI Computer Crime Study, utgjorde ondsinnede programvare det største antallet rapporterte cyberangrep, noe som resulterte i et gjennomsnittlig tap på $ 69,125 per hendelse. Ondsinnet programvare er dataprogrammer som er hemmelig installert på bedriftens datamaskin, og kan enten forårsake intern skade på et datanettverk som å slette kritiske filer, eller kan brukes til å stjele passord eller låse opp sikkerhetsprogramvare på plass, slik at hacker kan stjele kunde- eller ansattesinformasjon. Mesteparten av tiden brukes disse typer programmer av kriminelle for økonomisk gevinst gjennom enten utpressing eller tyveri.
Case Study:
Et nordøst produksjonsfirma falt kontrakter verdt flere millioner dollar for å lage måleinstrumenter og instrumenteringsenheter for NASA og US Navy. Imidlertid fant en morgenarbeidere seg ikke i stand til å logge på operativsystemet, i stedet for å få en melding om at systemet var "under reparasjon." Kort tid etter krasjet selskapets server, og eliminerte alle anleggets verktøy og produksjonsprogrammer. Når lederen gikk for å få tilbake tapene, fant han at de var borte og de enkelte arbeidsstasjonene hadde også blitt utslettet. Selskapets økonomidirektør vitnet om at programvarebomben hadde ødelagt alle programmer og kodegeneratorer som gjorde at firmaet kunne tilpasse sine produkter og dermed redusere kostnadene. Selskapet mistet deretter millioner av dollar, ble avviklet fra sin posisjon i bransjen, og til slutt måtte legge ned 80 arbeidere. Selskapet kan ta litt trøst i det faktum at den skyldige partiet ble til slutt arrestert og dømt.
Råd:
- Installer og bruk anti-virusprogrammer, anti-spyware programmer og brannmurer på alle datamaskiner i bedriften din.
- Kontroller at datamaskinene dine er beskyttet av en brannmur; brannmurer kan være separate apparater, bygget inn i trådløse systemer, eller en programvarebrannmur som følger med mange kommersielle sikkerhetssuiter.
- Videre må du sørge for at all dataprogramvare er oppdatert og inneholder de nyeste oppdateringene (dvs. operativsystem, antivirus, anti-spyware, antiadware, brannmur og kontorautomatiseringsprogramvare).
2. Stolt / tapt bærbar eller mobil enhet
Tro det eller ei, stjålet eller tapt bærbare datamaskiner er en av de vanligste måtene bedrifter mister kritiske data. Ifølge en 2006 FBI Crime Study (PDF), resulterte en stjålet eller tapt laptop vanligvis i et gjennomsnittlig tap på $ 30.570.En høy profil hendelse eller en hendelse som krever at et firma kontakter alle sine kunder, fordi deres økonomiske eller personlige data kan ha blitt tapt eller stjålet, kan føre til mye høyere tap på grunn av tap av forbrukertillid, skadet rykte og til og med juridisk ansvar.
Case Study:
I fjor tok en avdeling for Veterans Affaires arbeidstaker et bærbart hjem som inneholdt 26,5 millioner veteraneres medisinske historie. Mens ansatt ikke var hjemme, brøt en inntrenger inn og stjal den bærbare datamaskinen som inneholdt veteranernes data. Til slutt ble den bærbare datamaskinen gjenopprettet og dataene ble ikke brukt; VA måtte imidlertid varsle 26,5 millioner veteraner av hendelsen, noe som resulterte i kongressens høringer og offentlig kontroll. Dette fenomenet er ikke begrenset til regjeringen, i 2006 var det en rekke høyprofilerte bedriftssaker med tapt eller stjålet bærbare datamaskiner som resulterte i brudd på data. En bærbar datamaskin med 250.000 Ameriprise kunder ble stjålet fra en bil. Providential Health Care Hospital System hadde en bærbar datamaskin stjålet, som inneholdt tusenvis av pasienters medisinske journaler.
Råd:
- Beskytt kundens data når du transporterer den hvor som helst på en bærbar enhet ved å kryptere alle dataene som ligger i den. Krypteringsprogrammer koder for data eller gjør det ulæselig for utenforstående, inntil du skriver inn et passord eller krypteringsnøkkel. Hvis en bærbar datamaskin med sensitive data blir stjålet eller tapt, men dataene er kryptert, er det svært lite sannsynlig at noen vil kunne lese dataene. Kryptering er din siste forsvarslinje hvis data går tapt eller stjålet. Noen krypteringsprogrammer er bygd inn i populære finansielle og databaseprogrammer. Bare sjekk programvarehåndboken din for å finne ut om denne funksjonen er tilgjengelig og hvordan du slår den på. I noen tilfeller kan du trenge et ekstra program for å ordentlig kryptere dine sensitive data.
3. Spyd Phishing
Spyd phishing beskriver et svært målrettet phishing-angrep. Spear phishers sender e-post som vises ekte til alle ansatte eller medlemmer i et bestemt selskap, myndighet, organisasjon eller gruppe. Meldingen kan se ut som om den kommer fra en arbeidsgiver eller fra en kollega som kan sende en e-postmelding til alle i selskapet, for eksempel leder av menneskelige ressurser eller den som administrerer datasystemene, og kan inkludere forespørsler om brukernavn eller passord.
Sannheten er at e-post avsenderinformasjonen har blitt fakket eller "spoofed". Mens tradisjonelle phishing-svindel er utformet for å stjele informasjon fra enkeltpersoner, spytter phishing-svindel arbeid for å få tilgang til et selskaps hele datasystem.
Hvis en ansatt reagerer med brukernavn eller passord, eller hvis du klikker på koblinger eller åpne vedlegg i en e-post med spyd phishing, et popup-vindu eller et nettsted, kan de sette din bedrift eller organisasjon i fare.
Case Study:
En middels størrelse sykkelprodusent som produserte sykler som ble brukt i kjente løp, stolte sterkt på e-post for å drive virksomhet. I løpet av en virkedag mottok selskapet så mange som 50 000 spam- og phishing-e-poster. Som et resultat, installerte selskapet en rekke spamfiltre i et forsøk på å skjerme ansatte fra falske e-poster. Imidlertid går mange falske e-postmeldinger fremdeles til ansatte. I ett tilfelle mottok en ansatt en e-postadresse med "spyd phishing" som så ut som det kom fra IT-avdelingen, og ba medarbeideren om å bekrefte "administratorpassordet." Heldigvis for selskapet da ansatten spurte linjeleder for " administratorpassord "han undersøkte videre og innså at e-posten var en svindel. Selv om dette eksemplet ikke resulterte i et økonomisk tap, kan det lett ha, og er et vanlig problem for alle bedrifter.
Råd:
- Ansatte bør aldri svare på spam eller popup-meldinger som hevder å være fra en bedrift eller organisasjon som du kan håndtere for eksempel en Internett-leverandør (ISP), bank, online betalingstjeneste eller til og med et regjeringsorgan. Legitime selskaper vil ikke be om sensitiv informasjon via e-post eller en lenke.
- I tillegg, hvis en ansatt mottar en e-post som ser ut som den er fra en annen ansatt, og ber om passord eller hvilken som helst type kontoinformasjon, bør de ikke svare på det eller gi sensitiv informasjon via e-post. I stedet instruer medarbeideren å kontakte sin leder, eller bare hente telefonen og kontakte personen som sendte e-posten direkte.
- Det er viktig å gjøre medarbeiderne oppmerksomme på hva et speilfiskeangrep er, og å være på utkikk etter noe i deres innboks som ser mistenkelig ut. Den beste måten å unngå å bli offer for et phishing-angrep er å la alle vite at det skjer før noen mister personlig informasjon.
4. Usikrede trådløse Internett-nettverk
Forbrukerne og virksomheten vedtar raskt og implementerer trådløse Internett-nettverk. Ifølge en InfoTech-studie vil inntrengingen av trådløse Internett-nettverk nå 80% innen 2008. Mens trådløse Internett-nettverk gir bedrifter mulighet til å strømlinjeforme sine nettverk og bygge opp et nettverk med svært lite infrastruktur eller ledninger, er det sikkerhetsrisiko som virksomheter må adressere mens bruker trådløse Internett-nettverk. Hackere og svindlere kan få tilgang til bedriftens datamaskiner via et åpent trådløst Internett-nettverk, og som et resultat kan det muligens stjele kundeinformasjon, og til og med proprietær informasjon. Dessverre tar mange bedrifter ikke de nødvendige tiltak for å sikre sine trådløse nettverk. Ifølge en studie fra Symantec / Small Business Technology Institute i 2005 har 60% av små bedrifter åpne trådløse nettverk. I tillegg kan mange andre små bedrifter ikke bruke sterk nok trådløs sikkerhet for å beskytte sine systemer. Ikke riktig å sikre et trådløst nettverk er som å forlate en virksomhets dør åpen hele natten.
Case Study:
Ifølge nyhetsrapporter trakk hackere av de "største databruddene noensinne" gjennom et trådløst nettverk. En global detaljhandelskjede hadde over 47 millioner kunders økonomiske opplysninger stjålet av hackere som sprakk gjennom et trådløst nettverk som var sikret med den laveste krypteringsformen som var tilgjengelig for selskapet. I 2005 ble to hackere parkert utenfor en butikk og brukte en teleskop trådløs antenne til å dekode data mellom håndholdte betalingsscannere, slik at de kunne bryte inn i morselskapsdatabasen og gjøre av med kreditt- og debetkortsposter på nesten 47 millioner kunder. Det antas at hackerne hadde tilgang til kredittkortdatabasen i over to år uten å bli oppdaget. I stedet for å bruke den mest oppdaterte krypteringsprogramvaren for å sikre sitt trådløse nettverk - Wi-Fi Protected Access (WPA), brukte detaljhandelskjeden en gammel form for kryptering kalt Wireless Equivalent Privacy (WEP), som ifølge enkelte eksperter er lett hacket i så lite som 60 sekunder. For øyeblikket har dette sikkerhetsbruddet kostet selskapet 17 millioner dollar, og spesielt 12 millioner dollar i ett kvartal alene eller 3 cent per aksje.
Råd:
- Når du konfigurerer et trådløst nettverk, må du kontrollere at standardpassordet er endret. De fleste nettverksenheter, inkludert trådløse tilgangspunkt, er forhåndskonfigurert med standard administratorpassord for å forenkle oppsettet. Disse standardpassordene finner du enkelt på nettet, slik at de ikke gir noen beskyttelse. Endring av standard passord gjør det vanskeligere for angripere å ta kontroll over enheten.
- Dessuten sørg for at du krypterer ditt trådløse nettverk med WPA-kryptering. WEP (Wired Equivalent Privacy) og WPA (Wi-Fi Protected Access) både krypterer informasjon på trådløse enheter. WEP har imidlertid en rekke sikkerhetsproblemer som gjør det mindre effektivt enn WPA, så du bør spesielt se etter utstyr som støtter kryptering via WPA. Kryptering av dataene ville forhindre alle som kanskje vil kunne overvåke nettverks trådløs trafikk fra å se dataene dine.
5. Insider / Utilfreds Employee Threat
En utilfreds ansatt eller en insider kan være farligere enn den mest sofistikerte hackeren på Internett. Avhengig av bedriftens sikkerhetspolicyer og passordbehandling kan innsidere ha direkte tilgang til dine kritiske data, og som et resultat kan det enkelt stjele det og selge det til konkurrenten din, eller til og med slette alt det, noe som forårsaker uopprettelig skade. Det er skritt og tiltak du kan ta for å hindre en insider eller misfornøyde medarbeider fra å få tilgang til nøkkelinformasjon og skade datamaskinens nettverk.
Case Study:
En tidligere ansatt for et selskap som håndterer flyoperasjoner for store bilforetak, slettet kritisk ansettelsesinformasjon to uker etter at han ble fratatt sin stilling. Hendelsen forårsaket rundt $ 34 000 i skader. Ifølge rapporter var arbeidstaker opprørt om å bli utgitt av selskapet tidligere enn han hadde forventet. Tilsynelatende ble selskapets brannmur kompromittert og gjerningsmannen brøt inn i databasen for ansatte og slettet alle poster. Uttalelser fra firmaet indikerer at den utilfredse tidligere ansatt var en av kun tre personer som kjente innloggings- og passordinformasjonen for brannmuren som beskyttet databasen for medarbeiderne.
Råd:
Det finnes flere måter bedriften din kan beskytte seg mot fra insider eller misfornøyde medarbeidere trusler:
- Del kritiske funksjoner og ansvar mellom ansatte i organisasjonen, og begrense muligheten for at en person kan begå sabotasje eller svindel uten hjelp fra andre ansatte i organisasjonen.
- Implementer strenge passord- og autentiseringsregler. Pass på at alle ansatte bruker passord som inneholder bokstaver og tall, og ikke bruk navn eller ord.
- Vær også sikker på å endre passord hver 90 dag, og viktigst, slett en ansattes konto eller endre passordene til kritiske systemer, etter at en ansatt forlater firmaet ditt. Dette gjør det vanskeligere for misfornøyde medarbeidere å skade systemene dine etter at de har gått.
- Utfør due diligence FØR du ansetter noen. Gjør bakgrunnskontroller, utdanningskontroller osv. For å sikre at du ansetter gode mennesker.
Om forfatteren: Som administrerende direktør for National Cyber Security Alliance (NCSA), er Ron Teixeira ansvarlig for den overordnede styringen av sikkerhetsprogrammer for cyber sikkerhet og nasjonal utdanning. Teixeira arbeider tett med ulike myndigheter, bedrifter og non-profit for å øke bevisstheten om sikkerhetsproblemer og å gi hjembrukere, småbedrifter og utdanningssamfunnet verktøy og beste praksis som er utformet for å sikre en trygg og meningsfylt Internett-opplevelse.
9 kommentarer ▼
