7 худших ошибок кибербезопасности малого бизнеса
Трудно осознать серьезность ошибок в области кибербезопасности малого бизнеса, не понимая, насколько важны информационные технологии для современного предприятия. На самом деле, ИТ настолько неотъемлемая часть повседневной работы, что ее легко воспринимать как должное, пока не произойдет сбой в критически важной системе или сеть не выйдет из строя всего на час или два. Малые предприятия, в частности, обнаружили, что технологии дали им возможность конкурировать с гораздо более крупными соперниками. Но хотя ИТ, несомненно, были полезны для бизнеса, они также привнесли новые риски и угрозы. Бизнес-системы и данные постоянно находятся в опасности от хакеров, вредоносного ПО, мошеннических сотрудников, системных сбоев и стихийных бедствий. Это означает, что для адекватного снижения этих рисков необходима надежная программа ИТ-безопасности.
Крупные корпорации часто хорошо понимают, зачем им нужна ИТ-безопасность, и у них достаточно средств для этого. Небольшие компании не всегда относятся к кибербезопасности так серьезно, как должны. Вот некоторые из самых серьезных ошибок кибербезопасности малого бизнеса.
1. Думать, что они слишком малы, чтобы быть мишенью
Мы часто предполагаем, что хакеры в первую очередь заинтересованы во внедрении в крупные организации, поскольку отдача от этого огромна. И это имеет смысл. Рациональный человек будет вкладывать свое время и энергию в то, что принесет им наибольшую отдачу. Однако это не обязательно работает так, когда речь идет об ИТ-безопасности.
Крупные корпорации имеют в своем распоряжении целую армию экспертов по ИТ-безопасности с большими карманами. Они могут инвестировать в сложные системы безопасности. Поскольку проникновение в такие системы сложно и требует много времени, многие хакеры вместо этого предпочитают переключать свое внимание на малый и средний бизнес (SMB), поскольку они ожидают столкнуться с гораздо меньшим сопротивлением.
В любом случае даже небольшие предприятия сегодня обрабатывают значительные объемы конфиденциальной информации, включая платежные и банковские данные тысяч клиентов. Поэтому компании, какими бы маленькими они ни были, должны рассматривать себя как законную цель ИТ-безопасности и принимать соответствующие разумные меры для защиты своих систем и данных.
2. Совместное использование паролей
Одним из наиболее значительных преимуществ малого бизнеса перед крупными корпорациями является минимальная бюрократия. Вы можете принимать решения быстро и с гораздо большей гибкостью, чтобы удовлетворить потребности клиентов. Многие небольшие компании поддерживают тесные дружеские отношения между сотрудниками. Это почти семейные отношения, когда сотрудники считают себя близкими друзьями на работе и вне ее.
Проблема с такой гармонией заключается в том, что она может постепенно привести к небрежности и самонадеянности в повседневном управлении рисками, особенно в отношении средств контроля ИТ-безопасности. Многие сотрудники малого бизнеса не видят ничего особенного в том, чтобы поделиться своим паролем с коллегой. Тем не менее, общие пароли могут сделать подотчетность почти невозможной, поскольку никогда не ясно, кто действительно несет ответственность за определенное системное действие.
3. Отставание от исправлений безопасности
Каждый день обнаруживаются новые уязвимости в ИТ. Часто эти уязвимости публикуются на общедоступных веб-сайтах, посвященных хакерским атакам и кибербезопасности. Это означает, что знания доступны для всех, кто достаточно квалифицирован и заинтересован в их использовании. Разработчики программного обеспечения регулярно выпускают исправления для своих приложений, призванные закрыть эти лазейки.
Рекомендуется, чтобы системные администраторы применяли эти исправления по мере их выпуска разработчиками. Однако многие малые предприятия накапливают невыполненные обновления, часто полагая, что их персонал перегружен или что они не могут позволить себе нанять ИТ-специалистов для своевременной установки исправлений. Это одна из самых потенциально катастрофических ошибок кибербезопасности малого бизнеса. Это делает системы уязвимыми для заражения вредоносным ПО или проникновения хакеров.
Вместо этого малые предприятия должны стремиться автоматизировать свои процедуры установки исправлений, чтобы вмешательство человека было минимальным или вообще отсутствовало.
4. Использование общедоступного Wi-Fi
Небольшие компании не имеют устоявшейся репутации или узнаваемого бренда крупных корпораций. Поэтому им часто приходится из кожи вон лезть, чтобы удовлетворить требования клиентов. Это означает возможность работать практически в любое время и в любом месте. Малые предприятия также будут предлагать удаленную работу в качестве привилегии вместо гораздо большего вознаграждения, которое в противном случае получали бы их сотрудники, если бы они работали в крупной организации. Поэтому сотрудники будут регулярно использовать общедоступный Wi-Fi для подключения к своей корпоративной электронной почте, бизнес-приложениям и файловым серверам.
Тем не менее, общедоступный Wi-Fi небезопасен. Злоумышленник может использовать перехват пакетов или метод «человек посередине» для перехвата конфиденциальных данных, включая пароли. Они также могут создать поблизости обманчивую точку доступа с тем же именем и теми же учетными данными для входа, что и настоящий общедоступный WiFi. Чтобы избежать этого, сотрудники никогда не должны подключаться к сети компании через общедоступный Wi-Fi, если они не делают это через VPN (виртуальную частную сеть).
5. Плохое управление портативными устройствами
Чтобы сократить расходы, обеспечить мобильность и повысить гибкость, многие малые предприятия используют смартфоны, планшеты, ноутбуки, USB-накопители и внешние жесткие диски в объеме выше среднего. Сегодня эти устройства обладают значительной вычислительной мощностью и емкостью хранения, которые часто соперничают со средним настольным компьютером. Хотя эти портативные вычислительные устройства удобны, они также более подвержены краже или потере.
Малые предприятия часто не имеют специальных политик и процедур, регулирующих управление и безопасность портативных устройств. Если эти гаджеты попадут не в те руки, они могут раскрыть огромное количество конфиденциальной информации неавторизованным или злоумышленникам.
На всех портативных устройствах должно быть установлено программное обеспечение для шифрования. Это гарантирует, что их содержимое останется нечитаемым, даже если устройство попадет в руки хакеров.
6. Использование бесплатных облачных сервисов
Начальные стартапы должны использовать бесплатное программное обеспечение и облачные приложения, чтобы снизить свои расходы. Использование бесплатной электронной почты в Интернете, такой как Gmail или Yahoo Mail, может быть несколько понятным в первые дни стартапа (хотя услуги веб-хостинга и хостинга электронной почты в настоящее время невероятно доступны).
Однако эти бесплатные услуги не обеспечивают степень защиты, необходимую для обеспечения безопасности ваших самых конфиденциальных данных. В некоторых случаях они могут быть недостаточными для обеспечения соблюдения соответствующих законов о защите данных, таких как SOX и HIPAA.
Что еще хуже, и Gmail, и Yahoo Mail имеют миллиарды учетных записей. Это означает, что вероятность индивидуального срочного обслуживания клиентов, если вы столкнетесь с проблемой, которую не можете решить самостоятельно, невелика. У вас гораздо больше свободы действий, гибкости и безопасности, когда ваши приложения и данные размещаются на платном SaaS.
7. Нелегальное программное обеспечение
Нелегальное программное обеспечение — обычная ловушка для стартапов и малого бизнеса. Чтобы минимизировать свои расходы, некоторые малые предприятия готовы нелегально приобретать необходимое им программное обеспечение. В других случаях владельцы бизнеса попадают в эту ловушку по незнанию. Например, невозможность различать модели лицензирования, такие как открытый исходный код, лицензия и разовая покупка.
Ведущие разработчики, такие как Microsoft, Oracle и Adobe, стали более агрессивно преследовать и преследовать лиц и организации, использующие их программное обеспечение без разрешения. Конечно, незаконность — это только часть проблемы. Нелегальное программное обеспечение также более подвержено заражению вредоносным ПО. Некоторые веб-сайты, незаконно распространяющие копии проприетарного программного обеспечения, встраивают вредоносные программы в установочные файлы. Позже они могут использовать этот бэкдор, чтобы получить доступ к вашей сети, приложениям и данным.
Ошибки кибербезопасности малого бизнеса могут дорого обойтись
Малые предприятия могут не располагать человеческими, техническими и финансовыми ресурсами для отслеживания последних угроз безопасности, советов по безопасности и технологических новостей. Поэтому они склонны совершать ошибки в области ИТ-безопасности. Тем не менее, цена несоблюдения передовых методов ИТ-безопасности намного превышает любую краткосрочную экономию, которую они могут получить за свой надзор. Нарушение может даже вывести вас из бизнеса.
Независимо от размера вашего бизнеса, у вас есть конфиденциальная информация, которую хакеры хотели бы получить в свои руки. Избегая этих распространенных ошибок кибербезопасности малого бизнеса, вы можете укрепить свою киберзащиту, снизить вероятность взлома и, в конечном итоге, защитить свои активы данных.