מדוע עסקים קטנים צריכים ללמוד מהפרות נתונים בעלות פרופיל גבוה

בדיווח שפרסם לאחרונה, מקאפי הכריז כי 2014 "שנת הפרצה", וקל לראות מדוע. כמה חברות ותאגידים בעלי פרופיל גבוה סבלו מפגיעות נתונים נכות מאז ינואר, מיותר מ -50 מיליון אנשים בהום דיפו ל -70 מיליון פלוס ב- JPMorgan. בינתיים, סטייפלס, של PF צ'אנג, רצון טוב ושלל אחרים נפלו טרף לפשעי רשת.

על פי מדד רמת הפרה של SafeNet ברבעון השלישי של שנת 2014, היו 320 הפרות נתונים המדווחות בין יולי לספטמבר, 46% מהן היו מעורבות בגניבת זהות.

מבעבע מתחת לפני השטח של התראות על הפרות עיקריות אלה הוא מבול של הפרות נתונים עם פרופיל נמוך שמתרחשות מדי שבוע, ופחות סביר שתשמעו עליהן. יעד כמו הום דיפו מספק הזדמנות ליום תשלום מאסיבי, אך זהו גם סיכון גבוה יותר וכרוך בתכנון רב של העסקות. אז זה לא כל כך מפתיע לראות כמה האקרים הולכים על פרי תלוי נמוך כמו עסקים קטנים (SMB). אלה יניבו ימי משכורת קטנים יותר, אך יכולים להיות בשפע אם כמה מהם יורדים ברצף.

כל הזמן, פושעי הסייבר משתמשים בכלים חדשים בכדי למקד את חברות קטנות ובינוניות, אומר Trend Micro באחד הדיווחים האחרונים שלו בנושא keyloggers, בהם האקרים יכולים להשתמש בכדי להשמיד את נתוני החברה.

גארי דייוויס, האוונגליסט הראשי לביטחון הצרכנים במקאפי, אומר כי "ל- SMBs יש תחושת ביטחון שגויה זו, מתוך מחשבה שתקיפה כזו לעולם לא תתרחש להם." "איומי אבטחה אינם מקפידים על פי גודל ארגוני ועבור חברות קטנות ובינוניות שעובדיהן משתמשים במספר מכשירים, זה חשוב יותר לקבל פתרונות אבטחה מהשורה הראשונה."

אינך צריך לחפור רחוק מדי כדי למצוא דוגמאות לפרצות קטנות עד בינוניות. במלון הוסטוניון ביוסטון, טקסס, נראו 10, 000 פרטי אשראי של לקוחות שנחשפו במהלך הפרת אבטחה בתחילת השנה. בקנה מידה קטן יותר אך לא פחות רציני, חנות ציוד הספורט החיצוני Backcountry Gear, שממוקמת באורגון, המשלחת סחורות ברחבי ארה"ב, גילתה תוכנה זדונית במערכת שלה ביולי 2014 שעלולה להיות פגועה בנתוני הלקוחות.

"הבעיה היא שרבים מהחברות האלה פשוט לא רואים באבטחה משהו שהם צריכים לעשות, אלא משהו שהם צריכים לעשות", אומר מרקוס רנום, מנהל האבטחה הראשי בחברת Tenable Network Security. "בהיותם בגילוי לב, הם נוהגים בדרך כלל בגישה מינימלית חשופה במקרה הטוב, ומוציאים למיקור חוץ ומנסים לדחות את האחריות."

אימוץ העמדות הנכונות

אבטחה פועלת בצורה הטובה ביותר כאשר מתייחסים אליה כאל "תהליך עסקי ליבה", על פי מדריך האבטחה של SMB, אתר שמייעץ לעסקים קטנים לגבי שיטות עבודה מומלצות לאבטחה.

יש צורך בהכשרה בסיסית בסיסית לכל עסק קטן בהגנה על נכסיו הדיגיטליים. צריך להכשיר עובדים בשימוש בסיסמאות ייחודיות וקשות, אמר דייוויס, ובעלי עסקים צריכים לדעת את הנתונים שלהם מבפנים ומבחוץ, היכן הכל מאוחסן, ולמי בדיוק יש גישה אליו. קיום ספר פתוח על נתונים בקרב עובדים עשוי להוביל לדליפת נתונים, בין אם מכוונת ובין שלא בטעות.

במקום אחר, בעלי עסקים צריכים להבטיח כי גם האפליקציות ומערכות ההפעלה שלהם מתעדכנות, אך אבטחת הסייבר היא רב-צדדית ויכולה לקבל נוכחות פיזית. למי יש גישה לחדרים שבהם מאוחסנים כוננים קשיחים, למשל?

"אל תתנו לזרים לשוטט באולמות ולהגביל את הגישה הפיזית עם דלתות נעולות ומערכות כניסה מנוהלות", אומר דייוויס. "הקפד לבצע בדיקות רקע והתייחסות יסודיות לפני שאתה מעסיק עובדים חדשים."

להביא מכשיר משלך … או להביא הפרת נתונים משלך?

המדריך לתגובה על הפרות נתונים של Experian 2014/2015 ומכון פונמון מציגים את המקרה לפיתוח מדיניות תגובת הפרה נוקשה. מדיניות אפקטיבית בכל רחבי הלוח תעזור לכל עסק להתמודד טוב יותר עם הפרות הנתונים שלהם, במיוחד במקרה של חברות עם נהלי BYOD, שיוצרים יותר ויותר דרכים להפרות.

BYOD במשרד הופך להיות בלתי נמנע, אומר יועץ האבטחה של F-Secure, שון סאליבן.

"מבחינת המשתמש BYOD הוא רעיון נהדר, אבל מבחינה ביטחונית זה רעיון נורא", הוא אומר. "אתה משחק בהגרלת מזל רע; הסיכויים הם קטנים, אך הפרס הראשון הוא הפסד משמעותי של כסף."

המכשיר שייך לאדם והדבר מעורר סוגיות סביב אחריות, וזו הסיבה שתכנון מדיניות לבוש ברזל הוא חיוני ועליו להשלים את הכשרת עובדיך בפרוטוקולי אבטחה.

"אנו ממליצים לארגונים להעניק לעובדיהם הכשרה נוספת סביב המכשירים הפיזיים עצמם", מוסיף סאליבן. "בכך שהם מציעים לעובדים חווית משתמש נהדרת, סביר להניח שההפרות של החברה הנוגעות לאבטחה מופרות."

חברות קטנות ובינוניות יכולות להישאר מאחור

עסקים קטנים מעודדים לנקוט בגישה פרואקטיבית לביטחון ולאמץ את המנטליות של חברות גדולות, מכיוון שאיש אחר לא ישגיח עליכם.

פול למען, מנכ"ל iSheriff, חברת אבטחת ענן שמקורה ברדווד סיטי בקליפורניה, "בפועל, ענף האבטחה איפשר לעסקים קטנים ובינוניים למטה. חברות קטנות ובינוניות יכולות ללכת לאיבוד בשיחה ואינן זוכות לאותה תשומת לב בכל הנוגע לביטחון, ולעיתים קרובות משאירות אותן להתמודד עם עצמן.

ייתכן של- SMB אין הרבה מה להציע פושעי רשת כמו דיפו או יעד, אך לחברות עדיין יש הרבה מה להפסיד.

"לא מעוניינים לגנוב סודות או קניין רוחני כמו ההאקרים הממוקדים למפעלים גדולים יותר", אומר ליפמן, אבל במקום שיש עסק יש כסף ופושעי סייבר יתמקדו בכל דבר שהם יודעים שיוכלו לחדור אליו.

יש עסקים שהופכים יותר ויותר למיומנים בתחום הטכנולוגי, אך החלק המכריע הוא ש- SMB- עסקים לא יכולים לפנות את זמנם עם זה. טכנולוגיה - ואיומי סייבר - מתפתחים בקצב מדהים.

דו"ח בעלי העסקים הקטנים של בנק אוף אמריקה קובע כי 80% מהעסקים הקטנים שילבו "סוג כלשהו של שיטה דיגיטלית" בעסק שלהם, אך הדבר יכול לכלול מדיה חברתית כמו גם אבטחה. עד כמה תשומת לב רבה לחיזוק האבטחה כמו שמקדיש להרחבת טווח המדיה החברתית?

חברת האבטחה BitSight פרסמה מחקר חדש בנובמבר 2014 המאשש דאגות רבות בנוגע לאבטחת העסקים, בעיקר קמעונאית, ומציין כי שלמות האבטחה ירדה בעסקים אלה.

"למרות שזה מעודד שרוב מהקמעונאים שנפרצו שיפרו את יעילות האבטחה שלהם, יש לעשות יותר עבודה, במיוחד בתחום ניהול סיכוני הספקים", אמר סטיבן בויטר, סמנכ"ל הכספים של BitSight בעת ההכרזה על המחקר.

זה מעלה כמה שאלות. אם אתה בעל עסק קטן, האם ביקרת את נוהלי האבטחה של החברה שלך והערכת את היכן האבטחה עומדת על ההיררכיה שלך? עם התפתחות איומי הסייבר, עסקים קטנים יצטרכו לעשות זאת.