Краткие советы по кибербезопасности для малого бизнеса

Статистика показывает, что кибербезопасность представляет собой реальную угрозу для малого бизнеса, но владельцы не всегда действуют на основании этих знаний. По статистике PurpleSec, киберпреступность выросла на 600% во время пандемии COVID-19, а к 2025 году количество кибератак, по прогнозам, удвоится. Это, безусловно, серьезная проблема, однако исследование, проведенное Институт киберготовности предположил, что 60% предприятий не имеют политики в этой области.

Несправедливо делать вывод, что малые предприятия не заботятся о кибербезопасности, но они, похоже, готовы игнорировать проблемы. Несмотря на тревожную статистику и статьи, пестрящие в Интернете, многие мелкие фирмы постоянно недооценивают риск кибератак.

Логически это имеет смысл. Хотя угрозы кибербезопасности могут быть такими же серьезными, как и физические, онлайн-угрозы не всегда очевидны. Плохая защита паролем и плохое обслуживание сайта могут сделать ваш бизнес уязвимым для атак, но это не такая реальная угроза, как оставить магазин незапертым или позволить незнакомцу ходить по вашему офису без присмотра.

К несчастью для малого бизнеса, этот менталитет «с глаз долой, из головы» может иметь последствия. Если вам не удастся защитить свой бизнес от угроз кибербезопасности, вы можете потерять важную информацию компании, а также нанести ущерб своему бренду и потерять деньги. Кибератаки могут быть настолько серьезными, что компании просто не смогут покрыть расходы; IBM подсчитала, что средняя стоимость утечки данных в 2021 году составил $4,24 млн.

Почему вашему малому бизнесу нужна кибербезопасность

«Владельцы малого бизнеса не могут думать, что их бизнес слишком мал, чтобы его можно было взломать», — сказала Моник Беченти, менеджер по маркетингу продуктов Zimperium. «Хотя нарушения, которые попадают в заголовки газет, как правило, связаны с крупными предприятиями, ни один бизнес не застрахован от киберугроз».

Если сомневаетесь, спросите.

Одной из главных причин, по которой небольшие фирмы избегают вкладывать ресурсы в кибербезопасность, является отсутствие понимания и беспокойства. Даже термин «кибербезопасность» может напугать, однако существует множество экспертов, готовых дать совет с точки зрения непрофессионала. Если причина, по которой ваш бизнес избегает принятия мер кибербезопасности, заключается в недостатке знаний, есть эксперты, готовые посетить ваш бизнес либо для обучения, либо для обмена вариантами планов кибербезопасности. Игнорирование кибербезопасности из-за отсутствия технических знаний у вашей команды не является законным оправданием.

Если у вас мало времени или у вас есть команда удаленных сотрудников, вы можете пройти онлайн-курсы по кибербезопасности, чтобы лучше обучить всех и понять, где вашему бизнесу не хватает онлайн-защиты. Вот несколько лучших бесплатных онлайн-курсов по кибербезопасности.

• SANS Cyber ​​Aces Online: Это отлично подходит для новичков, потому что большая часть этого контента настолько проста, насколько это возможно. Если ваша команда, как правило, невежественна в вопросах кибербезопасности, рассмотрите возможность воспользоваться этим бесплатным курсом.
• Кибрари: Бесплатный доступ к Cybrary включает сотни курсов, связанных с кибербезопасностью и информационными технологиями. Курсы отсортированы по сложности, что помогает определить, какие из них лучше всего подходят именно вам.
• Основы кибербезопасности: Бесплатный курс Springboard включает в себя колоссальные 37 с лишним часов материалов. Вам не обязательно смотреть все это, чтобы лучше понять лучшие практики кибербезопасности, но один час просмотра в неделю даст потрясающую информацию.

Не думайте, что кибербезопасность начинается и заканчивается в офисе. Наша недавняя статья о создании безопасного домашнего офиса особенно актуальна для компаний, сотрудники которых обычно работают из дома.

В море еще много фиш.

Среди наиболее распространенных видов кибератак на малый бизнес – фишинговые атаки. Рыбаки используют наживку, чтобы заманить добычу поближе, и когда рыба кусает крючок с наживкой, рывок лески приказывает рыбаку вытащить рыбу. Фишинговые электронные письма работают аналогичным образом. Киберпреступники пытаются обмануть пользователей, используя приманку, часто в виде электронного письма.

Киберпреступник может создать поддельный адрес электронной почты, очень похожий на адрес вашего генерального директора — мы видели это несколько раз в нашей компании. В электронном письме может быть что-то вроде: «Привет, немедленно напишите мне, указав номер своего мобильного телефона. Мне нужна ваша помощь в одном проекте, и я хочу вам позвонить». Цель состоит в том, чтобы заставить вас думать, что вы переписываетесь по электронной почте со своим генеральным директором, прежде чем отправлять личную информацию хакеру, даже не осознавая угрозы.

Другие фишинговые атаки запрашивают дополнительную личную информацию, например номер вашей кредитной карты. Избегайте отправки личной финансовой информации по электронной почте. Вместо этого делитесь конфиденциальными данными с компаниями или частными лицами по телефону или лично. Фишинг — это одна из областей, где обучение ваших сотрудников передовому опыту может предотвратить разрушительные кибератаки. По данным исследования Verizon от 2021 г., Фишинг является причиной более трети всех утечек данных.

Не держитесь за выкуп.

Предприятия также должны быть готовы к атакам программ-вымогателей, которые происходят, когда вредоносное ПО заражает ваш компьютер и блокирует его до тех пор, пока не будет выплачен выкуп. Программное обеспечение для защиты от вредоносных программ — это быстрый способ предотвратить эти атаки.

Если ваш бизнес подвергся нападению, никогда не платите выкуп, несмотря на сделанные угрозы и обещания. Если преступникам удалось однажды заблокировать вашу систему, они смогут сделать это снова. Кроме того, нет никакой гарантии, что они вернут данные, даже если вы выполните их требования. Они могут просто попросить больше денег.

Вы можете в значительной степени устранить угрозу программ-вымогателей, регулярно создавая резервные копии данных в безопасном облачном сервисе. Недавно мы объяснили, как создавать резервные копии документов и данных на Google Диске.

Как быстро улучшить свою кибербезопасность

Внедрение и реализация комплексной программы кибербезопасности неизбежно займет больше часа. Вы не будете полностью защищены, внеся быстрые изменения, описанные ниже, но вы можете добиться значительных успехов за 60 минут или меньше, применив эти методы. Вот контрольный список того, что вам следует сделать как можно скорее:

1. Проведите аудит кибербезопасности.

Начните с выяснения положения вашего бизнеса. Хорошо ли вы защищены от киберугроз? Вы в безопасности в одних областях, но испытываете недостаток в других? Выясните, насколько вы защищены (или нет) сейчас, чтобы понять, что можно улучшить.

«Хотя для реализации большинства мер, которые может принять малый бизнес, требуется более часа, возможно, стоит потратить час на быструю проверку того, какие меры кибербезопасности у вас уже есть», — сказала Хизер Поне, старший вице-президент по продуктам и маркетинг в компании Untangle, которая обеспечивает сетевую безопасность малому бизнесу.

«Кибербезопасность включает в себя как политику, так и системы. Формулирование политики приемлемого использования устройств, данных и сети может стать важным первым шагом, если у вас ее еще нет. Если даже это слишком сложно, потратьте этот час на поиск ИТ-специалиста в вашем регионе, который сможет вам помочь».

Не бойтесь обращаться за помощью к экспертам по кибербезопасности. Пройдя курс по кибербезопасности или пройдя курс обучения, вы получите представление о ключевых угрозах, которые вы затем сможете распространить среди своих сотрудников.

2. Научите своих сотрудников распознавать распространенные угрозы кибербезопасности.

Обучение персонала тому, как выявлять угрозы, имеет решающее значение для активной и позитивной политики кибербезопасности всей компании. Специализированные фирмы по кибербезопасности могут отправить вашим сотрудникам фиктивное электронное письмо, подобное тому, которое может создать спамер или хакер. Если они нажмут на ссылку или откроют вложение, им будет показано сообщение типа «это была проверка, но в следующий раз вы могли заразить сеть вирусом». Сотрудники запомнят это, обсудят и, что самое важное, извлекут из этого уроки.

Некоторые предприятия могут представить себе, что зарубежный хакер принимает чрезвычайные меры для взлома сети малого бизнеса, но обычно это не так. Во многих случаях грубое фишинговое письмо может поставить под угрозу ваш малый бизнес. Базовые меры безопасности часто препятствуют успеху атак.

«Если бы предприятия малого и среднего бизнеса потратили один час на обучение персонала основам интернет-гигиены – распознаванию фишинговых писем, правильным практикам просмотра, отказу от загрузки подозрительных файлов и перехода по ссылкам – кибербезопасность была бы значительно улучшена», – сказал Шон Аллен, менеджер по цифровому маркетингу в Aware. «Сотрудники и электронная почта по-прежнему являются основными причинами взломов для предприятий малого и среднего бизнеса, а не опытных хакеров». (Узнайте о различных типах кибератак в наше руководство по кибербезопасности для малого бизнеса.)

3. Повысьте надежность пароля.

Шокирует тот факт, что в 2022 году наиболее часто используемым паролем в мире по-прежнему оставался «123456». Если вы чувствуете внезапный прилив смущения, читая последнее предложение, сейчас самое время пересмотреть свои пароли. Слишком много сотрудников и руководителей используют пароли, которые легко взломать, часто делясь ими на нескольких платформах и веб-сайтах. Если один пароль скомпрометирован, потенциальный вред возрастает в геометрической прогрессии. (Связанная статья: Предотвращение и предотвращение угроз и уязвимостей сетевой безопасности)

«Я бы рекомендовал сменить пароль на сложный», — сказал Тейлор Тосе, генеральный директор и основатель Velo IT Group. «Простое изменение пароля заблокирует любого, у кого он может быть. Например, если ваш пароль был раскрыт в результате нарушения безопасности или если вы просто поделились им со слишком большим количеством коллег, вы можете усилить безопасность этих учетных записей, используя новый пароль. Сложный пароль — ваша лучшая защита от обычных атак по словарю или методом перебора».

• Атаки грубой силы — это когда хакеры запускают автоматизированные программы, которые подключают различные потенциальные комбинации паролей. Они особенно эффективны против очевидных данных имени пользователя и простых паролей.
• Атака по словарю — это усовершенствованная атака методом перебора, в которой каждое слово в словаре рассматривается как потенциальный пароль. Например, список наиболее распространенных паролей NordPass за 2021 год показал, что слово «дракон» использовалось более 2 миллионов раз.

Укрепление паролей вашей организации немедленно снижает риск успешной кибератаки на ваш бизнес, и это не займет много времени. Вы можете изменить слабый пароль на безопасный за считанные секунды.

«Все пароли должны состоять как минимум из 10 символов, включая хотя бы одну заглавную, одну строчную, одну цифру и один специальный символ», — сказал Майлз Кио, генеральный директор Spade Technology. Поскольку в идеале каждая онлайн-учетная запись или служба должны иметь разные пароли, зачастую проще использовать инструмент менеджера паролей, чтобы запомнить их все через веб-браузер.

Длинные пароли с разными символами и заглавными буквами защищают от атак методом перебора, поскольку каждый дополнительный символ или символ значительно увеличивает количество возможных комбинаций. Использование надежных паролей является важным шагом в повышении кибербезопасности и предотвращении кибератак. Пароли представляют собой передовую линию кибербезопасности.

Компания кибербезопасности NordPass публикует ежегодные списки самые популярные пароли в мире. В пятерку лучших в 2021 году вошли «123456», «12345», «qwerty» и «пароль». «Пароль123» занял 20-е место, а популярное ругательство из двух слов — 56-е.

4. Внедрите многофакторную аутентификацию в бизнес-аккаунтах.

«Одной быстрой победой для владельцев малого бизнеса является установка многофакторной аутентификации в их учетных записях, особенно тех, которые связаны с финансовыми транзакциями», — сказала Стейси Клементс, основатель Milepost 42. «Многофакторная аутентификация обеспечивает дополнительный уровень безопасности, помимо имени пользователя и пароля, для защиты ваши учетные записи, обычно требуя ввести код, отправленный на ваше мобильное устройство или предоставленный отдельным аппаратным ключом безопасности.

«Большинство банков и онлайн-сервисов кредитных карт предлагают такую ​​возможность, как и большинство сервисов электронной почты и социальных сетей. Включение этой дополнительной защиты занимает всего несколько минут и защищает ваши важные учетные записи. Это помогает убедиться, что доступ к учетной записи действительно получили вы, а не киберпреступник, укравший ваш пароль».

Двухфакторная аутентификация означает, что преступнику придется глубоко внедриться в архитектуру вашей системы, чтобы получить доступ, и есть веская причина, по которой такие известные бренды, как Google, начали внедрять ее по умолчанию.

У малого бизнеса нет оправдания тому, чтобы полностью игнорировать кибербезопасность в 2024 году. Каждый день создается более 300 000 новых вредоносных программ, и многие из этих вредоносных программных кодов не делают различий между крупными и мелкими предприятиями. Независимо от своего размера, ваш бизнес может – и должен – защищать конфиденциальные данные путем повышения уровня кибербезопасности.

Нил Каминс участвовал в написании и подготовке этой статьи. Интервью с источниками были проведены для предыдущей версии этой статьи.