Oktober er blevet udpeget som National Cybersecurity Awareness Month af Department of Homeland Security. Og selvom du måske tror, at din virksomhed er for lille til at være bekymret for cybersikkerhed, så tager du fejl.
Jeg talte for nylig med Stephanie Benoit-Kurtz, Lead Cybersecurity Faculty ved University of Phoenix og Principal Security Consultant hos Trace3, om hvordan ejere af små virksomheder bedst kan beskytte deres virksomheder mod cyberangreb.
Mange ejere af små virksomheder og nystartede virksomheder mener, at deres virksomheder er for små til, at cyberkriminelle kan gide at hacke dem. Jeg ved, det er forkert. Hvilken fare står små virksomheder over for?
Stephanie Benoit-Kurtz: Små virksomheder er et mål af flere årsager. Dårlige aktører er klar over, at de måske ikke har store it-teams eller systemer til at reagere eller forhindre en hændelse. Ifølge FBI kostede cyberkriminalitet virksomheder mere end 2,7 mia. USD i 2020. Med over 791.000 klager går de dårlige aktører, hvor de kan tjene penge på indsatsen.
Hvilke cybersikkerhedsrisici skal små virksomheder være opmærksomme på?
Benoit-Kurtz: Efterhånden som store og små organisationer angribes, vokser SMB-angreb i frekvens, hvilket nu lukker hullet med større organisationer. Ifølge Verizon i DBIR-rapporten , er mindre organisationsbrud steget i hyppighed år efter år. Systemindtrængen er stadig en af de førende bidragydere til hændelser. Det er her, dårlige aktører får adgang til data og systemer.
Hvad er de mest almindelige cybertrusler for små virksomheder? Er disse forskellige, hvis du driver en virtuel/fjernvirksomhed?
Benoit-Kurtz: E-mail og social engineering-svindel fortsætter med at skabe kaos på alle virksomheder. PWC kørte en phishing-simulering på flere finansielle institutioner, og 70 % af e-mailsene blev leveret med en slutbrugerklikrate på 7 %. Det tager kun et klik at udsætte din organisation for en dårlig skuespiller. Et stort antal nyttelast kommer stadig via e-mail. CISA har nogle gode tips til, hvordan du undgår at blive et offer for phishing og social engineering.
Disse problemer adskiller sig ikke væsentligt mellem virtuelle eller fjerntliggende virksomheder og virksomheder på stedet. Organisationer skal sørge for regelmæssig phishing- og social ingeniøruddannelse for at reducere hændelser. Flere eksperter deler, at anslået 70 % af risikoen kan reduceres af organisationer, der træner medarbejdere til at identificere phishing- og social engineering-situationer. Dette problem er kun steget eksponentielt under COVID-19-pandemien. I 2020-rapporten om phishing og svindel , F5 rapporterer, at phishing-angreb voksede med 220 % under pandemien.
Det bedste forsvar er et godt angreb, og små virksomheder bør investere i medarbejdernes phishing og social ingeniøruddannelse. Tjenesterne er relativt billige og kan give et ekstra lag af beskyttelse for en lille virksomhed.
Er der en adgangskodepolitik, du anbefaler?
Benoit-Kurtz: Den anden førende trussel er legitimationstyveri. Login og adgangskoder afsløres gennem en usikker forbindelse, eller fordi de blev brugt i en tidligere organisation, der blev brudt. Antag, at alle dine sociale medier, personlige e-mails og andre logins og adgangskoder er blevet afsløret i et brud et eller andet sted. For dine arbejdskonti må du ikke genbruge logins eller adgangskoder.
Ofte, når en organisation bliver brudt, sælges logins og adgangskoder på Darkweb, hvor hackere køber listerne og derefter leder efter ofre i en spearphishing-metode. Den anden anbefaling er at gøre din adgangskode lidt mere kompleks. Brug for eksempel ikke dit barns eller kæledyrs navn, men en adgangssætning, der indeholder specialtegn og tal. Nogle gange lider medarbejdere af adgangskodetræthed. En adgangskodeboks kan være en bedre løsning. Dette skaber unikke adgangskoder og giver medarbejderne et værktøj til at hjælpe dem med at administrere deres konti. PC Magazine udgivet et fantastisk stykke om "Bedste adgangskodeadministratorer for 2021", hvor de opdeler fordelene ved forskellige løsninger.
Benoit-Kurtz: Hvordan holder du data sikker, hvis medarbejdere arbejder i kaffebarer, lufthavne, hotelværelser osv.?
Gratis netværk på kaffebarer, hoteller, restauranter og lufthavne er usikre. Disse bekvemme og nemme at forbinde tjenester er ikke-administrerede og angriber hackere, der jager intetanende brugere. Selvom du skal indtaste dit hotelværelsesnummer eller en anden type adgangskode, er det sandsynligvis et ubeskyttet netværk, hvor dine personlige data og virksomhedsdata kan være i fare. Prøv at give medarbejdere dataplaner på deres mobiltelefoner eller hotspots, der giver mulighed for sikker netværksadgang. Det er her, du knytter din computer til en sikker netværksforbindelse til en mobiltelefon eller anden LTE-enhed. Denne type forbindelse fungerer også for teams, der har brug for at samarbejde. ComputerWorld, i artiklen "Sådan bruger du din smartphone som et mobilt hotspot", giver detaljer om, hvordan denne enkle praksis kan forbedre sikkerheden i små virksomheder.
Hvad er en VPN, og hvordan opretter en lille virksomhed en?
Benoit-Kurtz: Hvis du skal bruge offentlig adgang til internettet, mens du fjernarbejder eller arbejder eksternt, er et virtuelt privat netværk (VPN) en fremragende løsning til at skabe et ekstra lag af sikkerhed. Tænk på en VPN som en indpakning omkring et stykke slik. Indpakningen holder slik inde og andre forurenende stoffer ude. VPN-software giver krypteringsbeskyttelse omkring din forbindelse til internettet, hvilket gør det meget sværere for hackere at opsnappe kommunikationen. Derudover er softwaren/tjenesten relativt billig, og små virksomheder behøver ikke at bygge deres egen VPN. I stedet kan de hente et produkt på markedet, der giver sikkerhed uden store omkostninger.
Hvordan får du medarbejderne til at følge disse retningslinjer?
Benoit-Kurtz: En del af et solidt sikkerhedsprogram inkluderer bevidsthedstræning, værktøjer og målinger om brug. Små virksomheder skal være på vagt. Konfigurationsstyring kan implementeres for at tvinge medarbejdernes maskiner til at have endpoint-beskyttelse. VPN-klienter skal bruges, når du er fjerntliggende og tillader ikke forbindelser til tilfældige netværk. Du kan også gøre det sjovt, som at belønne medarbejdere med gavekort og firmaswag for at blive ved med at overholde reglerne. Anerkend de brugere, der gør en indsats.
Hvad koster et brud?
Benoit-Kurtz: Kort sagt er brud dyre. Som en lille virksomhed kan dit omdømme og dine kunders tillid være i fare. Small Business Trends anslår, at den gennemsnitlige pris for et brud på små virksomheder er $25.000. Og IBM i sin årlige Cost of a Data Breach Report , siger, at disse omkostninger i de seneste to år er steget med over 10%. Disse omkostninger inkluderer dog ikke tab af kundetillid og det dermed forbundne tab af forretning, når kunder tager afsted til konkurrencen.
Er det dyrt at gøre din lille virksomhed cybersikker?
Benoit-Kurtz: Nej, det behøver ikke være dyrt at have en stærk cybersikkerhedsbeskyttelse. Tænk på det som tæpper på en seng. Cybersikkerhed leverer lag af forskellige teknologier og processer, der beskytter brugerne. Træning, VPN-software, slutpunktsbeskyttelse og hotspots reducerer alle risikoen betydeligt og kan implementeres uden et stort it-personale. Som en lille virksomhed skal du lede efter en sikkerhedspartner til at hjælpe dig med løsninger og skala, der fungerer inden for dit budget.
Der er masser af gode ressourcer til at hjælpe små virksomheder i deres sikkerhedsrejse. SBA udgiver adskillige fantastiske materialer, og der er sikkerhedsorganisationer, der specialiserer sig i at hjælpe virksomheder på deres sikkerhedsrejse. En god måde at begynde på er at invitere en sikkerhedspartner til at give en sikkerhedsrisikovurdering og hjælpe dig i gang. En god sikkerhedspartner vil ikke kun hjælpe dig med at finde dine svage punkter, men også udvikle dit sikkerhedsprogram, efterhånden som trusselsbilledet ændrer sig. Hvis du ikke har en sikkerhedspartner, så lav dit hjemmearbejde og interview flere organisationer for at finde en god pasform.
Selvfølgelig kan din SCORE mentor hjælpe dig med at træffe det rigtige valg. Find en i dag.