Κίνδυνοι και βοήθεια με την κυβερνοασφάλεια

Κίνδυνοι και βοήθεια με την κυβερνοασφάλεια

Ενώ η κυβερνοασφάλεια παραμένει μια ανησυχητική ανησυχία για τις μικρές επιχειρήσεις, οι επαγγελματικές λύσεις αφθονούν.

Οι ειδικοί λένε ότι οι μικρές επιχειρήσεις θα πρέπει να λάβουν σοβαρά υπόψη την ασφάλεια στον κυβερνοχώρο σε ένα ευρύτερο περιβάλλον στο οποίο τα τελευταία στατιστικά στοιχεία της National Association of Insurance Commissioners (NAIC) αποκαλύπτουν μέσο ποσοστό 66,9% απώλειας στον κυβερνοχώρο για τους 20 κορυφαίους ασφαλιστικούς ομίλους που παρέχουν ασφάλιση κυβερνοασφάλειας το 2020, μια σημαντική αύξηση από 44,6% το 2019.

Ο Steven W. Teppler, πρόεδρος της πρακτικής για την ασφάλεια στον κυβερνοχώρο και το απόρρητο στη δικηγορική εταιρεία Mandelbaum Barrett PC στο Roseland, υπογραμμίζει τη σημασία τόσο της κυβερνοασφάλειας όσο και της πρόληψης/απόκρισης παραβίασης δεδομένων. Εξηγεί, «Θέλετε να συνεχίσετε να [λειτουργείτε] την επιχείρησή σας και δεν θέλετε να πέσετε στο έδαφος [και να έχετε] μια ευθύνη τετάρτου εκατομμυρίου δολαρίων εκτός συσκευασίας, εάν έχετε παραβίαση δεδομένων [ ως μια μικρή επιχείρηση».

Συμβουλεύει επίσης, «Δεν υπάρχει επιστροφή στην επένδυση για ασφάλεια, αλλά όπως και η ασφάλιση, η αναδρομή την κάνει να φαίνεται πολύ, πολύ φθηνή».

Διανύσματα απειλών για την κυβερνοασφάλεια

Όσο για αμέτρητες επιχειρήσεις που πιστεύουν ότι έχουν ήδη αντιμετωπίσει σωστά την ασφάλεια στον κυβερνοχώρο, οι στατιστικές του FBI δείχνουν ότι τα ζητήματα παραμένουν ξεκάθαρα: Για παράδειγμα, υπήρξαν 19.954 περιστατικά συμβιβασμού ηλεκτρονικού ταχυδρομείου (BEC) το 2021, σχεδόν σταθερά από 19.369 το 2020. Το BEC του περασμένου έτους Οι απώλειες ανήλθαν σε ένα εκπληκτικό σύνολο σχεδόν 2,4 δισεκατομμυρίων δολαρίων.

«Οι [οι φορείς απειλών] γίνονται πολύ πιο εξελιγμένοι [και] ενεργούν εναντίον μικρών όσο και μεγάλων εταιρειών», εξηγεί ο Teppler του Mandelbaum Barrett. «[Για παράδειγμα, θα μάθουν πότε το HR ή το οικονομικό άτομο σας πάει διακοπές και αν μπορέσει να χακάρει το ηλεκτρονικό ταχυδρομείο [αυτού του ατόμου], θα καταλήξουν να πλαστογραφήσουν την ταυτότητά του [και] να προκαλέσουν τραπεζικό έμβασμα σε έναν δόλιο λογαριασμό. Αυτό είναι το είδος των πραγμάτων που πρέπει να προσέξετε».

Η Έκθεση Διαδικτυακού Εγκλήματος 2021 του FBI αναφέρει λεπτομερώς ότι τουλάχιστον από την έναρξη της πανδημίας COVID-19, οι εγκληματίες της BEC, για παράδειγμα, θα παραβιάσουν τον λογαριασμό ηλεκτρονικού ταχυδρομείου ενός οικονομικού διευθυντή και στη συνέχεια θα ζητήσουν μια εικονική συνάντηση με τον/τους υπαλλήλους μιας εταιρείας στην οποία οι εγκληματίες εισάγουν μια ακίνητη εικόνα του Διευθύνοντος Συμβούλου/CFO. Μετά τον ισχυρισμό ότι ο ήχος δεν λειτουργεί ή με «βαθιά παραποίηση» του ήχου του Διευθύνοντος Συμβούλου/CFO, οι εγκληματίες ζητούν μια δόλια τραπεζική μεταφορά είτε μέσω της ίδιας της εικονικής συνάντησης είτε μέσω του παραβιασμένου ηλεκτρονικού ταχυδρομείου του οικονομικού διευθυντή.

Ποια είναι άλλα κοινά σενάρια κυβερνοασφάλειας; Ο Michael Geraghty, επικεφαλής της ασφάλειας πληροφοριών της Πολιτείας του Νιου Τζέρσεϊ και διευθυντής του New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) (συστατική οργάνωση στο Γραφείο Εσωτερικής Ασφάλειας και Ετοιμότητας του Νιου Τζέρσεϋ), λέει στο New Jersey Business Magazine ότι «άνθρωπος σφάλμα», συμπεριλαμβανομένης της μη αλλαγής κωδικών πρόσβασης, της μη χρήσης ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), της αποτυχίας επιδιόρθωσης λογισμικού/λειτουργικών συστημάτων και του φαινομένου του ηλεκτρονικού ψαρέματος (phishing) είναι βασικοί τομείς ασφάλειας στον κυβερνοχώρο στους οποίους επιτυγχάνουν οι εγκληματίες.

Ο Geraghty λέει συνολικά, «Ο τρόπος με τον οποίο βλέπουμε την ασφάλεια στον κυβερνοχώρο εδώ [στο NJCCIC] ? ειδικά [με] επιτιθέμενους από οπουδήποτε στον κόσμο, οποιαδήποτε στιγμή της ημέρας [και] με οποιοδήποτε σύνολο δεξιοτήτων (είτε πρόκειται για έναν πολύ αρχάριο εισβολέα σε ηθοποιός έθνους-κράτους) ? δεν είναι απαραίτητα πόσο πολύτιμος είσαι, αλλά πόσο ευάλωτος είσαι».

Και η ευπάθεια μπορεί να υπάρχει σε μια σχεδόν ατελείωτη σειρά επαναλήψεων. Για παράδειγμα, ο Rashaad Bajwa, ιδρυτής και διευθύνων σύμβουλος της Integris με έδρα το Cranbury ? ενός εθνικού παρόχου υπηρεσιών πληροφορικής και ασφάλειας στον κυβερνοχώρο υψηλής ποιότητας σε μικρομεσαίες επιχειρήσεις ? προειδοποιεί ότι οι επιχειρήσεις δεν πρέπει να αφήνουν τον εξοπλισμό υπολογιστών χωρίς επιτήρηση σε γραφεία απομακρυσμένης εργασίας.

«Υπάρχουν πολλοί υπολογιστές, διακόπτες και συσκευές Wi-Fi σε γραφεία που δεν είναι ασφαλή και οι εργαζόμενοι δεν τους χρησιμοποιούν», εξηγεί. "[Αυτές οι συσκευές] δεν επιδιορθώνονται και δεν παρακολουθούνται και μπορούν να αξιοποιηθούν." Προσθέτει, ωστόσο, ότι τα δυσμενή περιστατικά (όπως οι θυρωροί ή άλλοι που έχουν πρόσβαση σε υπολογιστές) δεν έχουν γίνει ακόμη «κύριο ρεύμα με τους κακούς».

Προσέγγιση της Κυβερνοασφάλειας

Με αυτούς και άλλους κινδύνους για την ασφάλεια στον κυβερνοχώρο, υπάρχουν τουλάχιστον δύο ευρείες, προληπτικές προσεγγίσεις που μπορούν να ακολουθήσουν οι μικρές επιχειρήσεις: Η πρώτη είναι να επικοινωνήσετε με έναν δικηγόρο κυβερνοασφάλειας, ο οποίος - υπό το προνόμιο δικηγόρου-πελάτη - μπορεί να συστήσει μια εταιρεία ασφάλισης στον κυβερνοχώρο, εμπειρογνώμονες στον κυβερνοχώρο και πιθανώς μια εταιρεία δημοσίων σχέσεων κρίσης, η τελευταία χρήσιμη εάν προκύψει περιστατικό κυβερνοασφάλειας. Οι δικηγόροι μπορούν επιπλέον να αξιολογήσουν τόσο τις πολιτικές κινδύνου όσο και τις πολιτικές ασφάλειας στον κυβερνοχώρο, να ενεργούν ως άτομα που εκτυλίσσονται κατά τη διάρκεια των περιστατικών ασφάλειας στον κυβερνοχώρο και να προσλαμβάνουν αξιόπιστους εμπειρογνώμονες εγκληματολογίας στον κυβερνοχώρο, ανάλογα με την περίπτωση.

Ο Teppler του Mandelbaum Barrett λέει για τις προληπτικές τακτικές συνολικά: «Υπό την κάλυψη του προνομίου δικηγόρου-πελάτη, «περνάμε το αυτοκίνητο» και βεβαιωνόμαστε ότι είναι λειτουργικό και ότι δεν υπάρχουν διαρροές ή δυσλειτουργίες. Στη συνέχεια παρουσιάζουμε [τα ευρήματα] στον πελάτη και λέμε: «Κοίτα, εδώ έχεις κενά και εδώ δεν έχεις».

Μια άλλη μέθοδος για την αντιμετώπιση της ασφάλειας στον κυβερνοχώρο περιλαμβάνει απλώς την επικοινωνία με έναν πάροχο διαχειριζόμενων υπηρεσιών πληροφορικής και στη συνέχεια την πρόσληψη δικηγόρου, εάν είναι απαραίτητο, για συμβάσεις και τεκμηρίωση.

Ωστόσο, κανένας δικηγόρος δεν θα είναι πάντα αρκετός. Ο Bajwa της Intergris εξηγεί, «Πριν [οι επιχειρήσεις] βγουν έξω και αποκτήσουν τους δικούς τους δικηγόρους, οι εταιρείες θα πρέπει να μιλήσουν με τους παρόχους ασφάλισης στον κυβερνοχώρο, επειδή συχνά έχουν δικηγόρους με τους οποίους θα σας ζητήσουν να εργαστείτε».

Και προσθέτει, «Το ίδιο ισχύει και για εταιρείες σαν τη δική μας. Βοηθάμε με την απόκριση και την επανέναρξη της επιχείρησης μετά από παραβίαση [δεδομένων], αλλά δεν συνεργάζεται κάθε ασφαλιστική εταιρεία με κάθε πάροχο πληροφορικής. Πολλοί από αυτούς έχουν τους δικούς τους? προπονητές παραβίασης, ειδικούς στον κυβερνοχώρο και εγκληματολόγους με τους οποίους συνεργάζονται. Όπως και αν είχατε ένα αυτοκινητιστικό ατύχημα, [η ασφαλιστική εταιρεία] δεν συνεργάζεται απαραίτητα με κάθε συνεργείο επισκευής».

Προληπτικά Βήματα

Ποια συγκεκριμένα μέτρα κυβερνοασφάλειας μπορούν να κάνουν οι μικρές επιχειρήσεις; Και πάλι, αυτά - εν μέρει - περιλαμβάνουν τη χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA), τη διατήρηση όλου του λογισμικού ενημερωμένο, καθώς και την εκπαίδευση των εργαζομένων για ευαισθητοποίηση στον κυβερνοχώρο (π.χ. διδασκαλία τους να μην κάνουν κλικ σε άγνωστους συνδέσμους ηλεκτρονικού ταχυδρομείου, άνοιγμα άγνωστων συνημμένων ή πέσουν θύματα των προγραμμάτων κοινωνικής μηχανικής). Ετοιμότητα σημαίνει επίσης τη σωστή διαμόρφωση των τείχη προστασίας, το κλείσιμο των θυρών (συμπεριλαμβανομένου του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP)) και τη σωστή χρήση των διαμορφώσεων του cloud. Οι ειδικοί λένε επιπλέον ότι η καλή προστασία τελικού σημείου είναι το κλειδί, όπως με το Extended Detection and Response (EDR) και το Managed Detection and Response (MDR), που σχετίζονται ουσιαστικά με τον εντοπισμό και την απόκριση σε απειλές σε αντίθεση με το παραδοσιακό λογισμικό προστασίας από ιούς που βασίζεται σε μοτίβα.

Αλλά υπάρχουν περισσότερα στην εξίσωση: Ο Teppler του Mandelbaum Barrett εξηγεί ότι οι εταιρείες δεν πρέπει μόνο να λογοδοτούν για όλες τις υπολογιστικές τους συσκευές, αλλά και να κατανοούν τη ροή πληροφοριών τόσο εντός όσο και προς/από τον οργανισμό τους, ποιος έχει πρόσβαση σε αυτήν - και σε ποιο βαθμό . Στη συνέχεια μπορούν να εντοπιστούν κενά στον κυβερνοχώρο.

Ευρύτερα Βήματα

Η ευρύτερη προσέγγιση μιας εταιρείας μπορεί να περιλαμβάνει τη διαμόρφωση πολιτικών για την ασφάλεια στον κυβερνοχώρο, τη δημιουργία αντιγράφων ασφαλείας, την απόκριση σε περιστατικά, την ανάκτηση από καταστροφές και την επιχειρηματική συνέχεια. Ο Teppler εξηγεί, «Βασικά, είναι τι κάνεις όταν συμβαίνει κάτι: Ποιος κάνει τι; Κάντε το με τρόπο κατανοητό και ελεγχόμενο και βεβαιωθείτε ότι έχετε εξασκήσει? μια άσκηση με μια ψεύτικη εισβολή.»

Συμπέρασμα

Αν και κανένα σχέδιο κυβερνοασφάλειας δεν είναι 100% ασφαλές, ο Bajwa του Integris λέει, «Φτάνουμε σε ένα σημείο [χρονικά] όπου υπάρχουν πολλαπλά επίπεδα προστασίας για να προστατεύουν τους ανθρώπους από τα δικά τους λάθη [κυβερνο]? σε αντίθεση με το παρελθόν. όπου ένα τυχαίο κλικ, ένα τυχαίο λάθος [θα σήμαινε] ότι έπρεπε να πληρωθεί ένα τεράστιο τίμημα».

Και προσθέτει, «Προχωράμε σε καλή κατεύθυνση. ? Η τεχνολογία, νομίζω, βελτιώθηκε γρηγορότερα και καλύτερα από την ικανότητα των κακών να βρίσκουν τρωτά σημεία».

Ωστόσο, εξακολουθούν να υπάρχουν σαφείς και παρόντες κίνδυνοι για όλες τις εταιρείες, ειδικά εκείνες που δεν χρησιμοποιούν τις κατάλληλες μεθόδους πρόληψης.

Ο Geraghty του NJCCIC καταλήγει, «Γινόμαστε [ολοένα και περισσότερο] εξαρτημένοι από συνδεδεμένα συστήματα για οτιδήποτε κάνουμε, τόσο στην επιχείρηση όσο και στην προσωπική μας ζωή. Προφανώς, πρέπει να λάβουμε τις απαραίτητες προφυλάξεις για να μην γίνουμε θύματα».