Video: Teke Tek 16 Şubat 2016 (Siber İstihbarat, Siber Güvenlik, Siber Savaşlar)ᴴᴰ (Temmuz 2024)
Ulusal Küçük İşletmeler Haftası başlıyor ve festivaller küçük ve orta ölçekli işletmeler (KOBİ'ler) için en göze çarpan ve şimdiki konulardan birini ele almak için uzun sürmedi: siber güvenlik. Küçük İşletmeler İdaresi (SBA), küçük işletmelerin günlük faaliyetlerinde hemen uygulamaya koyabilecekleri somut yardım, eğitim ve tavsiyeler sağlamaya adanmış ABD hükümet ajansıdır. Bu amaçla, sadece gökyüzündeki pastacılık güvenliği trendleri sunmak yerine, günümüzün SBA siber güvenlik paneli, KOBİ'lere güvenlik açıklarını azaltmak ve kapsamlı bir güvenlik stratejisi uygulamak için atabilecekleri somut ipuçları, kaynaklar ve adımlar attı.
SBA Yönetici Yardımcısı Doug Kramer, küçük işletmelerin karşılaştığı en büyük güvenlik riskleri ve bulut tabanlı veya fiziksel altyapılarını ve verilerini korumak için atabilecekleri en önemli adımları ele aldıklarında güvenlik uzmanları panelini yönetti. Panelde ADP'deki Global Trust Güvencesi Başkan Yardımcısı Bill O'Connell; ESET Kuzey Amerika Kıdemli Güvenlik Araştırmacısı Stephen Cobb; Matt Littleton, Microsoft'taki Siber Güvenlik ve Azure Altyapı Hizmetleri Doğu Bölge Müdürü; ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Bilgisayar Güvenliği Bölümünde Denetleyici Bilgisayar Bilimcisi olan Patricia (Pat) Toth.
Panelistler, kimlik avı, fidye yazılımı ve küçük işletmelerin çok faktörlü kimlik doğrulamasına (MFA), çalışan güvenliği eğitimi ve politikalarına nasıl yaklaşmaları gerektiği, yönetilen bir servis sağlayıcı (MSP) sözleşmesinde nelere bakmaları gerektiği konusunda bir ihlalle nasıl başa çıkılacağı konusunda konuştular. ve ne zaman bir BT güvenlik danışmanı aranır.
Kramer'e göre sadece çalışan ve müşteri kredi kartı ve bankacılık bilgileriyle ilgili değil, fikri mülkiyet verileri işletmeleri, e-postadan bulut depolamaya ve küçük bir işletmeyi zayıf bir bağlantı ve kolay bir hedef haline getirebilecek saldırı yüzeylerine kadar her yerde barındırıyor Tedarik zinciri. SBA 'ya göre, Kramer, küçük işletmelerin neredeyse yarısının bir dereceye kadar siber suçla mağdur edildiğini ve ortalama saldırı maliyetinin yaklaşık 21.000 $ olduğunu söyledi.
SBA’nın Kramer’ine verdiği demeçte, "Küçük bir işletmeye başlayanlar, beklenenden daha pahalıya mal olacak bir siber güvenlik sorunuyla başa çıkmak için fazladan zaman veya para olmadan, ellerinden geldiğince çalışıyor ve küçük bir işletme için yaşam veya ölüm anlamına geliyor" dedi. başladı. “Siber saldırı ve hırsızlık tehdidi çok gerçek. Küçük işletmeler varlıkları ve envanteri farklı şekillerde ölçüyorlar, ancak bilgi hazinesinde oturuyorlar.”
1. Bulut Güvenliği: Yapılması ve Yapılmaması Gerekenler
Uygun maliyetli ve uygun nedenlerden dolayı, tüm KOBİ'lerin buluta geçiş yapmayı düşünmeleri gerekir, ancak geçişin dikkatli bir şekilde gerçekleşmesi gerekir. Panelistler en önemli düşüncelerden ve engellerden bazılarını tartıştılar.
- Yapın: Artımlı Bulut Yedekleme ESET'ten Cobb, "Bulutun birçok yararı ve riski var, ancak KOBİ'lerin hepsinin yapması gereken tek şey yedek, " dedi. "Tüm dosyaların geçerli yedeği, fidye yazılımlara ve siber güvenlik duruşunuzun ve savunmanızın kritik bir bölümüne karşı en iyi korumadır. Hala bir sabit sürücüye yedeklenmeli ve bir kopyasını ayrı bir yerde güvenli bir yerde saklamalısınız, ancak bulut yedeklemenizi sağlar sürekli."
- Yapın: Premium Bulut Güvenliği İçin Ödeme Yapın ADP'den O'Connell, "Küçük işletme sahipleri fiyat konusunda bilinçliler, ancak diğer faktörlerin de doğru ağırlık almaları gerekiyor." Dedi. “Bazı şeyler daha yüksek hizmet seviyesi için daha fazla paraya mal olmalı ve güvenlik de bunlardan biri. Sadece fiyata dayalı bir karar vermeyin.”
- Yapma: Sadece MSP Sözleşmesini İmzala
ESET'ten Cobb, "Bu sözleşmeyi kontrol et" dedi. "Depolama veya yedeklemeyi dış kaynak olarak kullanabilirsiniz, ancak sorumluluğu dış kaynak olarak kullanamazsınız. KOBİ sahibi BT sağlayıcısının tüm müşteri ve çalışan verilerine sahip olduğunu söylüyorsa - verileriniz - hala sizin sorumluluğunuzdadır."
ADP'den O'Connell, "Yalnızca sözleşme değil, veriler söz konusu olduğunda, herhangi bir güvenlik sorunu olup olmadığını görmek için araştırmanızı yapın" dedi. "Bir KOBİ için, sözleşme bu savunma hattının iyi bir parçası. SLA'lara göz atın ve katman veri politikalarına erişin. MSP'ler verileri ne kadar süreyle tutar?" Bununla ne yapıyorlar? "
- Yapma: Kullanılmayan MSP Altyapı Özelliklerini Bırakma Microsoft, "Bir bulut ortamına adım attıysanız, bu sorumluluğun bir kısmını değiştirebilirsiniz. Artık bir soruna yanıt verecek veya sunucuyu yamalayacak personelin bulunmaması konusunda endişelenmeniz gereken bir platform arenasında değiliz" dedi. Littleton. “Servis sağlayıcının gireceği ve sizin adınıza işlem yapabileceği yer burasıdır. Bir sözleşme açısından neye bulaştığınızı ve bulut sağlayıcısının hangi hizmetleri sunduğunu anlamanız gerekir.”
2. Multifactor Kimlik Doğrulama: Sadece Yapın
Microsoft'tan Littleton, "Hem kişisel hem de iş açısından MFA hemen yapabileceğiniz bir şeydir. İşletmelerin bunu hemen yapmamaları için mazeretleri yoktur, " dedi. “Tüm Microsoft ürün yığını için basit; aynı durum Google için geçerli, Yahoo, e-posta sağlayıcısına ad veriyorsunuz. Güvenlik ayarlarınıza bakın ve her çalışanın cep telefonu numaralarını ikinci bir faktör olarak girmelerini gerektirir. bir saldırganla şifrenizi çalıyorum, cep telefonunuzu çalıp PIN'i bilmediğim sürece kullanamıyorum. "
3. BT Güvenlik Danışmanı Ne Zaman Aranır?
ADP'den O'Connell “Küçük işletme sahibi olarak yalnız başına yapamayacağınız şeyler olacak” dedi. “Çok önemli sözleşmeler için yasal tavsiyenin dışına çıkacaksınız. Yıllık ve üç aylık mali işler için bir muhasebeciniz var. Aynı güvenlik uzmanlığı için de geçerli. Bir web sitesinin güvenli olduğundan emin olmak veya bir risk değerlendirmesi yapmak için bir siteyi test etmeniz gerektiğinde, Kendin yapma uzmanlığı yoksa, harcadığın para çoktur. Binadaki elektriği veya tesisatı kendin yapmıyorsun, ne zaman yardıma ihtiyacın olduğunu bilmekle ilgili. ”
4. Güvenlik Herkesin İşinin Bir Parçası
NIST’s Toth’a göre, 10 kişilik bir şirkette sadece bir kişiye güvenemezsiniz; herkes siber güvenlik konusunda iyi bir anlayışa sahip olmalı ve organizasyon için risklerin ne olduğunu ”söyledi. "Olmazlarsa, bir ihlal varsa ve iş iyileşemezse işleri tehlikeye girebilir."
ADP'den O'Connell, "Güvenliği, her insanın işinin bir parçası haline getirdi." “Finans yapan kişi - her gün ne yapmaları gerekiyor? Fiziksel tarafta, geceleri kapıyı kilitleyen kişi kim? Herkesin bileşenlerini ve rollerinin işletmenin genel güvenliğine nasıl uyduğunu bilmesi gerekiyor.”
5. Zayıf Tedarik Zinciri Bağlantısı Olmayın
SBA’nın Kramer’inin açıkladığı gibi, KOBİ’ler ile şirketler arasında artık bölünme yok. Küçük işletmeler büyümek ve ölçeklenmek isterler ya da yazılım ve hizmetler için bir işletme tedarik zincirine girerler. Sorun şu ki, KOBİ'nin güvenlik politikaları, ortak olmak istedikleri bir tedarik zinciri şirketiyle aynı olmayabilir.
ESET'ten Cobb, "Bir KOBİ büyük bir şirketle ilk büyük sözleşmesini yaptığında ve güvenlik politikalarınızı ve farkındalık programınızı görmek istediğinde, kontrol listesindeki her şeyi kontrol etmek için çabalıyor olmalısınız, " dedi. “Tedarik zinciri riski yukarı ve aşağıya düşmek büyük bir endişe kaynağı. Eğer bir KOBİ tedarikçiyle dijital olarak etkileşime giriyorsa, bunları göz atın. Güvenlik politikalarına ve eğitime sahip olmanız gerekir, böylece engel oluşturmaz.”
Microsoft'tan Littleton, "Hiçbir işletme siber arenada, özellikle tedarik zinciri yönetiminden hedeflenemeyecek kadar küçük değil" dedi. “Pek çok ihlal en baştan başlamıyor; tedarik zincirinde bir yerden başlıyorlar ve saldırganlar nihai hedefe doğru ilerliyorlar.”
NIST’dan Toth, önümüzdeki iki yıl içinde, devlet kurumlarının tedarik zinciri sistemlerine erişmek için kurallar yayınlamaya başladığını göreceksiniz. Bu arada, KOBİ’lerin bir plan yapmaları gerektiğini söyledi.
NIST’s Toth’a göre, “Neyin önemli olduğunu, korumak için ihtiyacınız olan bir şeyi ve işiniz erişilebilir değilse nasıl çalışacağını bilmek çok değerli bir şey” dedi. “KOBİ'lerin planları, politikaları ve prosedürleri olması gerekiyor. Büyük bir devlet yaklaşımı değil; çalışanların el kitabında, internette yapabileceklerini ve yapamadıklarını, kimlik avı saldırısının nasıl tespit edileceğini söyleyen politikalar kadar basit olabilir., ve ne zaman bağlantıların ve eklerin açılıp açılmayacağı. "
6. E-postayı Zarf Değil, Posta Kartı Gibi Davran
ESET'den Cobb, "E-postayla küçük bir işletme olarak yapılacak ilk şey, içinde ne olduğunu düşünmektir. Birisinin şirket bilgilerini hackleyeceksem, e-postaları genellikle tüm iyi şeylere sahip olur" dedi. “İnsanlar genellikle orada ne bıraktıklarını düşünmüyorlar. Sony hackine bakın; insanlar e-postayla gönderilmemesi gereken şeyler söylüyorlardı. E-posta bir posta kartı, mühürlü bir zarf değil. "
Microsoft’un Littleton’ı, “Verileri kontrol etme konusunda daha da artıyor” dedi. "Saldırı yüzeyinizi azaltan gelen filtrelemeli şifreli bir e-posta servisi kullanmak paraya değer olabilir. Kredi kartı numaranızı bir e-postada bıraktıysanız, hizmet gerçekten bunu göndermek isteyip istemediğinizi sorar ve ardından otomatik olarak şifrelemeyi istemez sadece e-posta hariç tüm e-postalar. Sektör ilerledikçe, bu hizmetler daha makul ve yaygın hale geliyor. "
7. Olayları Daima Rapor Et
SBA Kramer'i, küçük bir işletme ihlal edildiğinde veya bir kimlik avı dolandırıcılığı veya fidye yazılımı talebi ile vurulduğunda, kimin arayacağını bilmeleri gerektiğini söyledi. ESET’in Cobb’i, küçük işletmeler araştırmak için kaynaklara sahip olmadığından kolluk kuvvetlerinden korktuğu için polise ihbarda bulunmadıklarını söyledi.
ESET'den Cobb, "Kolluk kuvvetlerinin bildirilen suçlara dayanarak fon sağladığı talihsiz bir döneme sahibiz, ancak insanlar suç bildirmiyor çünkü polisin kaynakları olduğunu sanmıyorlar." Dedi. Hiç kimse rapor etmezse, polis bu siber suçlarla ilgili sorunları ele almak için kendilerini kaynaklarla donatacak kanıtlara asla sahip olmayacaktır. "
NIST Toth, "Çoğu belediyede siber suç birimleri var ve buna yanıt verilecek."
8. Bir Olay Müdahale Planının Uygulanması
Microsoft'tan Littleton, “Emniyet kemerinizi bir kazanın ortasına koymaya çalışmayın” dedi. “Bir ihlal gerçekleşmeden önce nasıl cevap vereceğinizi ortaya koyan bir plana ihtiyacınız var.”
ESET'den Cobb, "Bu konuda tamamen yalnız değilsiniz, " dedi. "Raftan satın aldığınız güvenlik hizmetleri, bulutta veya tedarik zincirine erişimde daha fazla koruma sağlar. Temel düzeyde algılama ve önleme hizmetleri veriyor olabilir. Planınızı bir araya getirirken, güvenlik hizmetlerinden ayrılmadığınızdan emin olun. MSP'niz veya güvenlik servisiniz tarafından sunulan masada. "
9. Gevşek uçları bırakmayın
ESET'ten Cobb, "Gördüğümüz bir sorun alanı - bir çalışan ayrılırsa veya kovulursa - sistem erişimi derhal sonlandırılmıyor" dedi. “Küçük işletmeler güvendikleri insanlarla ve gelip giden birçok insanla çalışıyorlar. Bazen en mutlu şartlara girmiyorlar. Eğer kin sahibi eski bir çalışanın hâlâ erişimi var ya da hala çok faktörlü kimlik doğrulaması etkinleştirilmişse, bu "Acı vermesi kolay, büyük bir içeriden güvenlik sorunu."
10. Devlet Kaynakları ve Eğitim
Hükümet siber güvenliği ele almak için büyük adımlar atıyor. Beyaz Saray bu yılın başlarında bir siber güvenlik çerçevesi yayınladı ve Başkan Obama'nın 2017 bütçe önerisi siber güvenlik saldırılarıyla başa çıkmak için fonda yüzde 35 artış istiyor (19 milyar dolara). SBA Kramer ve NIST's Toth, SBA'nın KOBİ'ler için siber güvenlik ipuçları ve araçları, kurslar, eğitimler ve web seminerleri koleksiyonu da dahil olmak üzere tüm siber güvenlik kaynakları sayfası gibi ücretsiz devlet kaynaklarına dikkat çekti.
En faydalı kaynaklardan bazıları şunlardır:
- SBA'nın En İyi 10 Siber Güvenlik İpucu
- SBA Online Kursu: Küçük İşletmeler için Siber Güvenlik
- Siber Esneklik Değerlendirmesi (CRR) Değerlendirme Aracı
- Küçük Biz Siber Planlayıcısı
- SBA, NIST ve FBI’nın ortak Küçük İşletme Atölyeleri
- SBA’nın YouTube kanalı
- NIST'in Bilgisayar Güvenliği Kaynak Merkezi
- COMPTIA'nın sertifikaları ve MSP güvenlik protokollerini öğrenmek için eğitim programları
