Af Ron Teixeira
I løbet af de sidste to år har der været en række højt profilerede databrudssager, der involverer store virksomheder. Selv om dette kan give den opfattelse, at kun store virksomheder er målrettet af hackere og tyve, er virkeligheden, at hackere i stigende grad er rettet mod små virksomheder, fordi de normalt ikke har de ressourcer eller knowhow, som store virksomheder gør.
Det betyder imidlertid ikke, at små virksomheder skal bruge en stor sum penge og ressourcer til at beskytte sig selv for de seneste trusler. Faktisk kunne ifølge en nylig Symantec-trusselsrapport 82% af data, der enten blev tabt eller stjålet, have været undgået, hvis virksomheden fulgte en simpel cybersikkerhedsplan.
For at kunne begynde at udvikle en cybersikkerhedsplan skal du forstå internettruslerne, og hvordan beskytte din virksomhed mod disse trusler har direkte indflydelse på din bundlinje. Som følge heraf har National Cyber Security Alliance, hvis partnere omfatter Department of Homeland Security, Federal Bureau of Investigations, Small Business Administration, National Institute for Standards and Technology, Symantec, Microsoft, CA, McAfee, AOL og RSA, udviklet top 5 trusler, som din lille virksomhed kan komme over på internettet, forretningssager om hvordan disse trusler kan skade dig og praktiske foranstaltninger, du kan tage for at undgå disse trusler.
Her er et resumé af de fem bedste trusler:
- # 1: Ondskabskode. En nordøstproducerende firmwarebombe ødelagde alle firmaprogrammer og kodegeneratorer. Derefter tabte selskabet millioner af dollars, blev afviklet fra sin position i branchen og til sidst måtte afskedige 80 arbejdere. For at sikre, at dette ikke sker for dig, skal du installere og bruge anti-virusprogrammer, anti-spywareprogrammer og firewalls på alle computere i din virksomhed. Desuden skal du sikre dig, at al computersoftware er opdateret og indeholder de nyeste patches (dvs. operativsystem, anti-virus, anti-spyware, anti-adware, firewall og office automation software).
- # 2: Stolet / tabt bærbar eller mobil enhed. Sidste år blev en afdeling for Veterans Affairs medarbejderens laptop stjålet fra hans hjem. Den bærbare computer indeholdt 26,5 millioner veteraner 's medicinske historie. I sidste ende blev den bærbare computer gendannet, og dataene blev ikke brugt; VA måtte imidlertid meddele 26.500.000 veteraner fra hændelsen, hvilket resulterede i kongressens høringer og offentlig kontrol. For at sikre, at dette ikke sker for dig, skal du beskytte dine kunders data, når du transporterer det overalt på en bærbar enhed ved at kryptere alle data, der findes i den. Krypteringsprogrammer koder data eller gør det ulæseligt for udenforstående, indtil du indtaster en adgangskode eller krypteringsnøgle.
- # 3: Spyd Phishing. En mellemstor cykelproducent stolt stærkt på e-mail for at drive forretning. I løbet af en forretningsdag modtog virksomheden op til 50.000 spam- og phishing-e-mails. I et tilfælde modtog en medarbejder en e-mail, der så ud som "IT-afdelingen", og så medarbejderen til at bekræfte "administratoradgangskoden". Heldigvis for virksomheden, da medarbejderen bad linjeleder for " administrator adgangskode "han undersøgte videre og indså, at e-mailen var en fidus. For at sikre, at dette ikke sker for dig, instruere alle medarbejdere at kontakte deres leder eller simpelthen afhente telefonen og kontakte den person, der sendte emailen direkte. Det er vigtigt at gøre dine medarbejdere opmærksomme på, hvad et phishing-angreb er, og at være på udkig efter alt i deres in-box, der ser mistænkeligt ud.
- # 4: Usikrede trådløse internetnetværk. Ifølge nyhedsrapporter trak hackere den "største dataskrænkelse nogensinde" gennem et trådløst netværk. En global detailkæde havde over 47 millioner kunders finansielle oplysninger stjålet af hackere, der knækkede gennem et trådløst netværk, der var sikret med den laveste form for kryptering, der var tilgængelig for virksomheden. I øjeblikket har dette sikkerhedsbrud kostet selskabet 17 millioner dollars, og især 12 millioner dollar i et kvartal alene eller 3 cent per aktie. For at sikre, at dette ikke sker for dig, skal du sørge for, at standardadgangskoden er ændret, og at du krypterer dit trådløse netværk med WPA (Wi-Fi Protected Access).
- # 5: Insider / utilfreds Employee Threat. En tidligere medarbejder for en virksomhed, der håndterede flyoperationer til større bilvirksomheder, slettet kritisk beskæftigelsesinformation to uger efter at han trådte tilbage fra sin stilling. Hændelsen forårsagede omkring 34.000 dollars i skader. For at sikre, at dette ikke sker for dig, opdele kritiske funktioner og ansvar blandt medarbejdere i organisationen, hvilket begrænser muligheden for, at en person kan begå sabotage eller svig uden hjælp fra andre medarbejdere i organisationen.
Læs videre for mere information og detaljerede råd om, hvordan du beskytter dine computersystemer -
1. Ondskabskode (Spyware / Virus / Trojan Horse / Worms)
Ifølge en 2006 FBI Computer Crime Study, omfattede ondsindede softwareprogrammer det største antal rapporterede cyberangreb, hvilket resulterede i et gennemsnitligt tab på $ 69.125 pr. Hændelse. Skadelig software er computerprogrammer, der er hemmeligt installeret på din virksomheds computer, og kan enten forårsage intern skade på et computernetværk som at slette kritiske filer eller kan bruges til at stjæle adgangskoder eller låse sikkerhedssoftware på plads, så en hacker kan stjæle kunde- eller medarbejderinformation. For det meste bruges disse typer af programmer af kriminelle til økonomisk gevinst gennem enten afpresning eller tyveri.
Casestudie:
Et nordøstproducentfirma fik tildelt kontrakter til en værdi af flere millioner dollars til at lave måleinstrumenter og instrumenteringsudstyr til NASA og US Navy. En morgenmandsarbejdere fandt sig imidlertid ude af stand til at logge på operativsystemet, men fik i stedet en besked om, at systemet blev "repareret". Kort efter slog virksomhedens server ned og eliminerede alle planteværktøjerne og fremstillingsprogrammerne. Da lederen gik for at få backupbånd, fandt han at de var væk, og de enkelte arbejdsstationer var også blevet udslettet. Selskabets CFO vidnede om, at softwarebomben havde ødelagt alle programmer og kodegeneratorer, der gjorde det muligt for firmaet at tilpasse deres produkter og dermed reducere omkostningerne. Virksomheden tabte efterfølgende millioner af dollars, blev afviklet fra sin position i branchen og måtte til sidst afskedige 80 arbejdere. Virksomheden kan tage en vis trøst i den kendsgerning, at den skyldige blev til sidst anholdt og dømt.
Råd:
- Installer og brug anti-virus programmer, anti-spyware programmer og firewalls på alle computere i din virksomhed.
- Sørg for, at dine computere er beskyttet af en firewall firewalls kan være separate apparater, der er indbygget i trådløse systemer eller en software firewall, der følger med mange kommercielle sikkerhedssuiter.
- Desuden skal du sikre dig, at al computersoftware er opdateret og indeholder de nyeste patches (dvs. operativsystem, anti-virus, anti-spyware, anti-adware, firewall og office automation software).
2. Stolet / tabt bærbar eller mobil enhed
Tro det eller ej, stjålet eller tabt bærbare computere er en af de mest almindelige måder virksomheder taber kritiske data. Ifølge en 2006 FBI Crime Study (PDF) resulterede en stjålet eller tabt bærbar computer normalt i et gennemsnitligt tab på $ 30.570.En høj profil hændelse eller en hændelse, der kræver, at et firma kontakter alle deres kunder, fordi deres økonomiske eller personlige data kan være gået tabt eller stjålet, kan resultere i meget højere tab som følge af tab af forbrugertillid, beskadiget ry og endda juridisk ansvar.
Casestudie:
Sidste år tog en afdeling for veteranvirksomhedens medarbejder et bærbart hjem, der indeholdt 26.500.000 veteraneres medicinske historie. Mens medarbejderen ikke var hjemme, brød en indbrud ind og stjal den bærbare computer, der indeholdt veteranernes data. I sidste ende blev den bærbare computer gendannet, og dataene blev ikke brugt; VA måtte imidlertid meddele 26.500.000 veteraner fra hændelsen, hvilket resulterede i kongressens høringer og offentlig kontrol. Dette fænomen er ikke begrænset til regeringen, i 2006 var der en række højprofilerede virksomhedssager, der involverede tabte eller stjålne bærbare computere, der resulterede i brud på data. En bærbar computer med 250.000 Ameriprise kunder blev stjålet fra en bil. Providential Health Care Hospital System havde en bærbar computer stjålet, som indeholdt tusindvis af patienters lægejournaler.
Råd:
- Beskyt dine kunders data, når du transporterer det overalt på en bærbar enhed ved at kryptere alle data, der findes i den. Krypteringsprogrammer koder data eller gør det ulæseligt for udenforstående, indtil du indtaster en adgangskode eller krypteringsnøgle. Hvis en bærbar computer med følsomme data bliver stjålet eller tabt, men dataene er krypterede, er det meget usandsynligt, at alle vil kunne læse dataene. Kryptering er din sidste forsvarslinje, hvis data går tabt eller stjålet. Nogle krypteringsprogrammer er indbygget i populære finansielle og database software. Du skal blot tjekke softwareens brugervejledning for at finde ud af, om denne funktion er tilgængelig, og hvordan du tænder den. I nogle tilfælde kan du have brug for et ekstra program til korrekt kryptering af dine følsomme data.
3. Spyd phishing
Spyd phishing beskriver et stærkt målrettet phishing-angreb. Spyd phishers sender e-mail, der vises ægte for alle medarbejdere eller medlemmer inden for et bestemt firma, et statsligt organ, en organisation eller en gruppe. Beskeden kan se ud som om den kommer fra en arbejdsgiver eller fra en kollega, der eventuelt sender en e-mail til alle i virksomheden, som f.eks. Lederen af de menneskelige ressourcer eller den person, der forvalter computersystemerne, og kan omfatte anmodninger om brugernavne eller adgangskoder.
Sandheden er, at e-mail-afsenderoplysningerne er blevet forfalsket eller "spoofed". Mens traditionelle phishing-svindel er designet til at stjæle information fra enkeltpersoner, spytter phishing-svindel arbejde for at få adgang til hele virksomhedens computersystem.
Hvis en medarbejder reagerer med et brugernavn eller en adgangskode, eller hvis du klikker på links eller åbne vedhæftede filer i en e-mail med spyd phishing, pop op-vindue eller websted, kan de risikere din virksomhed eller organisation.
Casestudie:
En mellemstor cykelproducent, der producerede cykler, der blev brugt i velkendte løb, stolt på email for at drive forretning. I løbet af en forretningsdag modtog virksomheden op til 50.000 spam- og phishing-e-mails. Som følge heraf installerede virksomheden adskillige spamfiltre i et forsøg på at beskytte medarbejdere mod svigagtige e-mails. Men mange svigagtige e-mails går stadig igennem til medarbejderne. I et tilfælde modtog en medarbejder en e-mail, der så ud som "IT-afdelingen", og så medarbejderen til at bekræfte "administratoradgangskoden". Heldigvis for virksomheden, da medarbejderen bad linjeleder for " administrator adgangskode "han undersøgte videre og indså, at e-mailen var en fidus. Mens dette eksempel ikke resulterede i et økonomisk tab, kunne det nemt have, og det er et fælles problem for alle virksomheder.
Råd:
- Medarbejdere bør aldrig reagere på spam eller pop op-meddelelser, der hævder at være fra en virksomhed eller organisation, som du måske vil beskæftige sig med f.eks. En internetudbyder (ISP), bank, online betalingstjeneste eller endda et statsligt bureau. Legitime virksomheder vil ikke bede om følsomme oplysninger via e-mail eller et link.
- Hvis en medarbejder modtager en e-mail, der ser ud som om den er fra en anden medarbejder, og beder om adgangskode eller enhver form for kontooplysninger, bør de ikke svare på det eller give følsomme oplysninger via e-mail. I stedet instruerer medarbejderen om at kontakte deres leder eller simpelthen afhente telefonen og kontakte den person, der sendte emailen direkte.
- Det er vigtigt at gøre dine medarbejdere opmærksomme på, hvad et phishing-angreb er, og at være på udkig efter alt i deres in-box, der ser mistænkeligt ud. Den bedste måde at undgå at blive offer for et phishing-angreb på er at fortælle alle, at det sker, før nogen mister personlige oplysninger.
4. Usikrede trådløse internetnetværk
Forbrugerne og virksomhederne vedtager hurtigt og implementerer trådløse internetnetværk. Ifølge en InfoTech-undersøgelse vil trådløse internetnetindtrængninger nå op på 80% i 2008. Mens trådløse internetnetværk giver virksomhederne mulighed for at strømline deres netværk og opbygge et netværk med meget ringe infrastruktur eller ledninger, er der sikkerhedsrisici, virksomheder skal tage fat på, mens ved hjælp af trådløse internetnetværk. Hackere og svindlere kan få adgang til virksomhedernes computere via et åbent trådløst internetnetværk og kan som følge heraf muligvis stjæle kundeoplysninger og endda proprietær information. Desværre tager mange virksomheder ikke de nødvendige foranstaltninger for at sikre deres trådløse netværk. Ifølge en undersøgelse fra Symantec / Small Business Technology Institute i 2005 har 60% af de små virksomheder åbne trådløse netværk. Derudover må mange andre små virksomheder ikke bruge stærk nok trådløs sikkerhed til at beskytte deres systemer. Ikke korrekt sikring af et trådløst netværk er ligesom at forlade en forretningsdør åben om natten.
Casestudie:
Ifølge nyhedsrapporter trak hackere den "største dataskrænkelse nogensinde" gennem et trådløst netværk. En global detailkæde havde over 47 millioner kunders finansielle oplysninger stjålet af hackere, der knækkede gennem et trådløst netværk, der var sikret med den laveste form for kryptering, der var tilgængelig for virksomheden. I 2005 hævdede to hackere at parkere udenfor en butik og brugte en teleskop trådløs antenne til at afkode data mellem håndholdte betalingsscannere, så de kunne bryde ind i moderselskabets database og gøre af med kredit- og betalingskortoptegnelser på næsten 47 millioner kunder. Det antages, at hackerne havde adgang til kreditkortdatabasen i over to år uden at blive opdaget. I stedet for at bruge den mest opdaterede krypteringssoftware til at sikre sit trådløse netværk - Wi-Fi Protected Access (WPA), brugte detailkæden en gammel krypteringskode, der hedder Wireless Equivalent Privacy (WEP), som ifølge nogle eksperter nemt kan hacket i så lidt som 60 sekunder. I øjeblikket har dette sikkerhedsbrud kostet selskabet 17 millioner dollars, og især 12 millioner dollar i et kvartal alene eller 3 cent per aktie.
Råd:
- Når du opretter et trådløst netværk, skal du sørge for, at standardadgangskoden er ændret. De fleste netværksenheder, herunder trådløse adgangspunkter, er forudkonfigureret med standard administratoradgangskoder for at forenkle opsætningen. Disse standardadgangskoder findes nemt online, så de giver ingen beskyttelse. Ændring af standardadgangskoder gør det sværere for angriberne at tage kontrol over enheden.
- Desuden skal du sørge for at kryptere dit trådløse netværk med WPA-kryptering. WEP (Wired Equivalent Privacy) og WPA (Wi-Fi Protected Access) krypterer både oplysninger om trådløse enheder. WEP har dog en række sikkerhedsproblemer, der gør den mindre effektiv end WPA, så du bør specifikt kigge efter udstyr, der understøtter kryptering via WPA. Kryptering af data ville forhindre enhver, der muligvis vil kunne overvåge din trådløse trådløse trafik fra at se dine data.
5. Insider / utilfreds Employee Threat
En utilfreds medarbejder eller en insider kan være farligere end den mest sofistikerede hacker på internettet. Afhængigt af din virksomheds sikkerhedspolitik og adgangskodehåndtering kan insidere have direkte adgang til dine kritiske data, og det kan derfor nemt stjæle det og sælge det til din konkurrent eller endda slette alt det, hvilket forårsager uoprettelig skade. Der er skridt og foranstaltninger, du kan tage for at forhindre en insider eller utilfreds medarbejder i at få adgang til vigtige oplysninger og beskadige dine computernetværk.
Casestudie:
En tidligere medarbejder for en virksomhed, der håndterede flyoperationer til større bilvirksomheder, slettet kritisk beskæftigelsesinformation to uger efter at han trådte tilbage fra sin stilling. Hændelsen forårsagede omkring 34.000 dollars i skader. Ifølge rapporterne var medarbejderen ked af at blive frigivet af selskabet tidligere end han havde forventet. Tilsyneladende blev virksomhedens firewall kompromitteret, og gerningsmanden brød ind i medarbejderdatabasen og slettede alle poster. Erklæringer fra firmaet indikerer, at den utilfredse tidligere medarbejder var en af kun tre personer, der kendte log-in og adgangskodeoplysninger til firewallen, der beskyttede medarbejderdatabasen.
Råd:
Der er en række måder, din virksomhed kan beskytte sig mod fra insider eller utilfredsstillende medarbejdertrusler:
- Opdele kritiske funktioner og ansvar blandt medarbejdere i organisationen, hvilket begrænser muligheden for, at en enkeltperson kan begå sabotage eller svig uden hjælp fra andre medarbejdere i organisationen.
- Gennemfør strenge kodeord og godkendelsespolitikker. Sørg for, at hver medarbejder bruger adgangskoder, der indeholder bogstaver og tal, og ikke bruge navne eller ord.
- Vær desuden sikker på at ændre adgangskoder hver 90 dage, og vigtigst af alt skal du slette en medarbejders konto eller ændre adgangskoderne til kritiske systemer, efter at en medarbejder forlader din virksomhed. Dette gør det sværere for utilfredse medarbejdere at beskadige dine systemer, efter at de har forladt.
- Udfør due diligence FØR du ansætter nogen. Gør baggrundskontrol, uddannelseskontrol osv. For at sikre, at du ansætter gode mennesker.
Om forfatteren: Som eksekutivdirektør for National Cyber Security Alliance (NCSA) er Ron Teixeira ansvarlig for den overordnede styring af cyber sikkerhedskendskabsprogrammer og nationale uddannelsesindsatser. Teixeira arbejder tæt sammen med forskellige offentlige organer, virksomheder og non-profit for at øge bevidstheden om internet sikkerhedsspørgsmål og at give hjembrugere, små virksomheder og uddannelsesmiljøet værktøjer og bedste praksis, der er designet til at sikre en sikker og meningsfuld internetoplevelse.
9 kommentarer ▼
