Tháng 10 đã được Bộ An ninh Nội địa chỉ định là Tháng nâng cao nhận thức về an ninh mạng quốc gia. Và trong khi bạn có thể nghĩ rằng doanh nghiệp của mình quá nhỏ để lo lắng về an ninh mạng, bạn đã nhầm.
Gần đây tôi đã nói chuyện với Stephanie Benoit-Kurtz, Trưởng khoa An ninh mạng tại Đại học Phoenix và Cố vấn bảo mật chính tại Trace3, về cách các chủ doanh nghiệp nhỏ có thể bảo vệ tốt nhất công ty của họ khỏi các cuộc tấn công mạng.
Nhiều chủ doanh nghiệp nhỏ và công ty khởi nghiệp cho rằng doanh nghiệp của họ quá nhỏ để tội phạm mạng có thể tấn công. Tôi biết điều đó là sai. Doanh nghiệp nhỏ gặp nguy hiểm gì?
Stephanie Benoit-Kurtz: Các doanh nghiệp nhỏ là một mục tiêu vì một số lý do. Những kẻ xấu nhận thức được rằng họ có thể không có đội ngũ hoặc hệ thống CNTT lớn để phản hồi hoặc ngăn chặn sự cố. Theo FBI, tội phạm mạng khiến các doanh nghiệp thiệt hại hơn 2,7 tỷ đô la vào năm 2020. Với hơn 791.000 đơn khiếu nại, những kẻ xấu đang đi đến nơi mà họ có thể kiếm tiền từ nỗ lực đó.
Các doanh nghiệp nhỏ nên đề phòng những rủi ro an ninh mạng nào?
Benoit-Kurtz: Khi các tổ chức lớn và nhỏ bị tấn công, các cuộc tấn công SMB ngày càng gia tăng về tần suất, hiện đang thu hẹp khoảng cách với các tổ chức lớn hơn. Theo Verizon, trong Báo cáo DBIR , các vụ vi phạm tổ chức nhỏ hơn đã gia tăng tần suất năm này qua năm khác. Sự xâm nhập hệ thống vẫn là một trong những yếu tố góp phần hàng đầu cho các sự cố. Đây là lúc những kẻ xấu giành được quyền truy cập vào dữ liệu và hệ thống.
Các mối đe dọa mạng phổ biến nhất đối với các doanh nghiệp nhỏ là gì? Những điều này có khác nhau nếu bạn điều hành một doanh nghiệp ảo / từ xa không?
Benoit-Kurtz: Email và lừa đảo kỹ thuật xã hội tiếp tục tàn phá tất cả các doanh nghiệp. PWC đã chạy một mô phỏng lừa đảo trên một số tổ chức tài chính và 70% email được gửi với tỷ lệ nhấp của người dùng cuối là 7%. Chỉ cần một cú nhấp chuột để lộ tổ chức của bạn trước một kẻ xấu. Một số lượng lớn trọng tải vẫn đến qua email. CISA có một số mẹo tuyệt vời về cách tránh trở thành nạn nhân của lừa đảo và kỹ thuật xã hội.
Những vấn đề này không có sự khác biệt đáng kể giữa các doanh nghiệp ảo hoặc từ xa so với các doanh nghiệp tại chỗ. Các tổ chức cần cung cấp đào tạo kỹ thuật xã hội và lừa đảo thường xuyên để giảm sự cố. Một số chuyên gia chia sẻ rằng ước tính 70% rủi ro có thể được giảm bớt nhờ các tổ chức đào tạo nhân viên để xác định các tình huống lừa đảo và kỹ thuật xã hội. Vấn đề này chỉ tăng theo cấp số nhân trong đại dịch COVID-19. Trong Báo cáo lừa đảo và gian lận năm 2020 , F5 báo cáo các cuộc tấn công lừa đảo đã tăng 220% trong thời kỳ đại dịch.
Biện pháp phòng vệ tốt nhất là hành vi phạm tội tốt và các doanh nghiệp nhỏ nên đầu tư vào đào tạo kỹ sư xã hội và lừa đảo nhân viên. Các dịch vụ này tương đối rẻ và có thể cung cấp thêm một lớp bảo vệ cho một doanh nghiệp nhỏ.
Có chính sách mật khẩu nào bạn đề xuất không?
Benoit-Kurtz: Mối đe dọa hàng đầu khác là hành vi trộm cắp thông tin xác thực. Thông tin đăng nhập và mật khẩu bị lộ thông qua một kết nối không an toàn hoặc do chúng đã được sử dụng trong một tổ chức trước đó đã bị vi phạm. Giả sử rằng tất cả các phương tiện truyền thông xã hội, email cá nhân và các thông tin đăng nhập và mật khẩu khác của bạn đã bị tiết lộ khi vi phạm ở đâu đó. Đối với tài khoản công việc của bạn, không sử dụng lại thông tin đăng nhập hoặc mật khẩu.
Thông thường, khi một tổ chức bị xâm phạm, thông tin đăng nhập và mật khẩu được rao bán trên Darkweb, nơi tin tặc mua danh sách và sau đó tìm kiếm nạn nhân theo kiểu tiếp cận thương mại. Khuyến nghị thứ hai là làm cho mật khẩu của bạn phức tạp hơn một chút. Ví dụ:không sử dụng tên con hoặc thú cưng của bạn mà sử dụng cụm mật khẩu có chứa các ký tự và số đặc biệt. Đôi khi nhân viên bị mệt mỏi vì mật khẩu. Kho mật khẩu có thể là một giải pháp tốt hơn. Điều này tạo ra mật khẩu duy nhất và cung cấp cho nhân viên một công cụ để giúp họ quản lý tài khoản của mình. Tạp chí PC đã xuất bản một bài viết hay về “Những nhà quản lý mật khẩu tốt nhất cho năm 2021”, nơi họ phân tích những lợi ích của các giải pháp khác nhau.
Benoit-Kurtz: Làm cách nào để giữ an toàn cho dữ liệu nếu nhân viên làm việc trong quán cà phê, sân bay, phòng khách sạn, v.v.?
Mạng miễn phí tại các quán cà phê, khách sạn, nhà hàng và sân bay không an toàn. Các dịch vụ tiện lợi và dễ kết nối này không được quản lý và tấn công các tin tặc tấn công những người dùng không nghi ngờ. Ngay cả khi bạn cần nhập số phòng khách sạn hoặc một số loại mật mã, đó có thể là một mạng không được bảo vệ, nơi dữ liệu cá nhân và công ty của bạn có thể gặp rủi ro. Xem xét việc cung cấp cho nhân viên các gói dữ liệu trên điện thoại di động của họ hoặc các điểm phát sóng cho phép truy cập mạng an toàn. Đây là nơi bạn kết nối máy tính của mình với kết nối mạng an toàn với điện thoại di động hoặc thiết bị LTE khác. Loại kết nối này cũng hoạt động cho các nhóm cần cộng tác. ComputerWorld, trong bài viết “Cách sử dụng điện thoại thông minh của bạn làm điểm phát sóng di động”, cung cấp thông tin chi tiết cụ thể về cách phương pháp đơn giản này có thể cải thiện tình hình bảo mật doanh nghiệp nhỏ.
VPN là gì và doanh nghiệp nhỏ thiết lập VPN như thế nào?
Benoit-Kurtz: Nếu bạn phải sử dụng Internet truy cập công cộng trong khi định tuyến hoặc làm việc từ xa, thì Mạng riêng ảo (VPN) là một giải pháp tuyệt vời để tạo một lớp bảo mật bổ sung. Hãy nghĩ về VPN như một lớp bọc xung quanh một viên kẹo. Giấy gói giữ kẹo trong và các chất bẩn khác ra ngoài. Phần mềm VPN cung cấp khả năng bảo vệ mã hóa xung quanh kết nối của bạn với Internet, khiến cho tin tặc khó đánh chặn liên lạc hơn nhiều. Ngoài ra, phần mềm / dịch vụ này tương đối rẻ và các doanh nghiệp nhỏ không cần phải xây dựng VPN của riêng họ. Thay vào đó, họ có thể tìm nguồn cung cấp sản phẩm trên thị trường để bảo mật mà không tốn kém chi phí lớn.
Làm cách nào để bạn thu hút nhân viên tuân theo các nguyên tắc này?
Benoit-Kurtz: Một phần của chương trình bảo mật vững chắc bao gồm đào tạo nâng cao nhận thức, các công cụ và số liệu sử dụng. Các tiểu thương phải đề cao cảnh giác. Quản lý cấu hình có thể được thực hiện để buộc máy của nhân viên có bảo vệ điểm cuối. Các ứng dụng khách VPN phải được sử dụng khi bạn ở xa và không cho phép kết nối với các mạng ngẫu nhiên. Bạn cũng có thể làm cho nó thú vị, chẳng hạn như thưởng cho nhân viên bằng thẻ quà tặng và khen ngợi công ty vì đã tuân thủ. Ghi nhận những người dùng đã nỗ lực.
Chi phí của một vi phạm là gì?
Benoit-Kurtz: Nói một cách đơn giản, vi phạm rất tốn kém. Là một doanh nghiệp nhỏ, danh tiếng và sự tin tưởng của khách hàng có thể gặp rủi ro. Xu hướng Doanh nghiệp Nhỏ ước tính chi phí trung bình cho một vụ vi phạm của doanh nghiệp nhỏ là 25.000 đô la. Và IBM, trong Báo cáo vi phạm dữ liệu hàng năm của mình , cho biết trong hai năm qua, chi phí này đã tăng hơn 10%. Tuy nhiên, chi phí đó không bao gồm sự mất lòng tin của khách hàng và tổn thất liên quan đến hoạt động kinh doanh khi khách hàng rời bỏ cuộc thi.
Việc tạo an toàn mạng cho doanh nghiệp nhỏ của bạn có đắt không?
Benoit-Kurtz: Không, việc bảo vệ an ninh mạng mạnh mẽ không cần phải tốn kém. Hãy nghĩ về nó như những tấm chăn trên giường. An ninh mạng cung cấp các lớp công nghệ và quy trình khác nhau để bảo vệ người dùng. Đào tạo, phần mềm VPN, bảo vệ điểm cuối và điểm phát sóng tất cả đều giảm thiểu rủi ro đáng kể và có thể được thực hiện mà không cần đội ngũ CNTT lớn. Là một doanh nghiệp nhỏ, hãy tìm đối tác bảo mật để hỗ trợ bạn với các giải pháp và quy mô phù hợp với ngân sách của bạn.
Có rất nhiều nguồn lực tuyệt vời để hỗ trợ các doanh nghiệp nhỏ trong hành trình bảo mật của họ. SBA xuất bản nhiều tài liệu tuyệt vời và có các tổ chức bảo mật chuyên giúp đỡ các công ty trong hành trình bảo mật của họ. Một cách tuyệt vời để bắt đầu là mời một đối tác bảo mật cung cấp đánh giá rủi ro bảo mật và giúp bạn bắt đầu. Một đối tác bảo mật tuyệt vời sẽ không chỉ giúp bạn tìm ra điểm yếu mà còn phát triển chương trình bảo mật của bạn khi bối cảnh các mối đe dọa thay đổi. Nếu bạn không có đối tác bảo mật, hãy làm bài tập về nhà và phỏng vấn một số tổ chức để tìm một đối tác phù hợp.
Tất nhiên, người cố vấn SCORE của bạn có thể giúp bạn đưa ra lựa chọn đúng đắn. Tìm một cái ngay hôm nay.