Как снизить затраты на утечку данных малого бизнеса

• Утечка данных дорого обходится малым предприятиям — это не только комиссионные от компаний, выпускающих кредитные и дебетовые карты, но и доверие ваших клиентов.
• Следуя этим пяти шагам, чтобы обезопасить свою компанию, вы избежите серьезных и косвенных издержек, связанных с мошенническими действиями.
• Киберстрахование может смягчить ущерб от кибератаки, покрывая эти расходы.
• Эта статья предназначена для владельцев малого бизнеса, которые хотят защитить как свой бизнес, так и клиентов от утечки данных.
  

Утечки данных регулярно затрагивают малый бизнес и обходятся дорого по разным причинам. В этой статье приведены пять практических шагов по защите данных ваших клиентов, прежде чем упомянуть, как киберстрахование может помочь вам и как вы можете восстановить свою репутацию после взлома.

Стоимость утечки данных

В то время как утечки данных в гигантских корпорациях, таких как Марриотт Интернэшнл и Капитал Один привлечь внимание средств массовой информации, это столь же реалистичный сценарий для малого бизнеса — и атаки на этом уровне могут оказаться гораздо более разрушительными. Киберпреступность стала более распространенной среди небольших компаний после пандемии коронавируса, когда многие малые предприятия были вынуждены оцифровать свои процессы и перейти на модель удаленной работы. Эксперты говорят, что владельцы малого бизнеса, которые не уделяют защите личной информации клиентов первостепенной важности, вскоре могут остаться без работы.

Джефф Коск, партнер юридической фирмы Benesch, сказал, что предприятия, которые компрометируют личные данные клиентов, такие как кредитные карты и номера социального страхования, сталкиваются с множеством расходов, не все из которых привязаны к точной сумме в долларах.

Жесткие затраты

По словам Коска, одни из самых больших расходов приходятся на компании, выпускающие кредитные и дебетовые карты, которые обладают широкими полномочиями и правами в ситуациях утечки данных, особенно если обнаруживается, что бизнес не соблюдает правила индустрии платежных карт (PCI). Правила PCI регулируют конкретные меры безопасности, которые должны соблюдаться предприятиями, принимающими кредитные и дебетовые карты.

«В случае нарушения PCI они имеют право налагать штрафы на продавцов», — сказал Коск о компаниях, выпускающих кредитные и дебетовые карты. «Они также имеют право в соответствии с этими соглашениями отозвать любые мошеннические платежи, которые происходят с чьей-либо карты в результате утечки данных».

В дополнение к возврату денег компаниям, выпускающим кредитные карты, предприятия несут расходы, связанные с предупреждением потребителей о нарушении, оплатой их услуг кредитного мониторинга, расследованием того, как произошло нарушение, и принятием мер, чтобы предотвратить его повторение.

По словам Коска, в зависимости от масштабов нарушения предприятия также могут быть оштрафованы Федеральной торговой комиссией. Он указал на пример TJ Maxx, которая была вынуждена выплатить более 9 миллионов долларов в виде штрафов более чем 40 генеральным прокурорам после нарушения закона в 2007 году.

По данным IBM Security, утечки данных теперь обходятся компаниям-жертвам в среднем более 4 миллионов долларов, при этом инциденты становятся все более смертоносными, дорогостоящими и более сложными для сдерживания.

Мягкие расходы

Коск сказал, что многие компании в таких ситуациях также сталкиваются с потерей производительности, потому что сотрудники больше сосредоточены на уборке беспорядка, чем на обычных повседневных обязанностях. «Вы отвлекаете всех от их обычных рабочих обязанностей, чтобы справиться с утечкой данных».

Вдобавок к увеличению нагрузки на сотрудников, компании несут потенциально бесценный ущерб своей репутации и доверию.

«Существует сообщество людей, у которых с вами доверительные отношения, и это может быть поставлено под угрозу», — сказал Уильям Пелгрин, бывший генеральный директор Центра интернет-безопасности. «Как вы оправитесь от всего этого, может быть очень сложно».

Защита вашего малого бизнеса от утечки данных

Одна из проблем заключается в том, что многие малые предприятия считают, что из-за своего размера они не являются мишенью для киберпреступников.

«Мы склонны думать, что с нами этого не произойдет, потому что мы слишком малы и что они действительно смотрят на более крупные (компании), но это не так», — сказал Пелгрин. «В этот момент все находятся под постоянным нападением».

Поскольку в последние годы киберпреступники стали настолько эффективны, он объяснил, что даже при наличии наилучших мер безопасности нет никаких гарантий, что бизнес будет в безопасности.

«Серебряной пули не существует», — добавил Пелгрин. «Лучшее, что вы можете сделать, — это быть максимально усердным и бдительным, чтобы убедиться, что вы сделали все, что в ваших силах, чтобы быть в максимальной безопасности».

Защита данных: 5 шагов для защиты данных клиентов

Чтобы максимально защитить данные потребителей, Пелгрин советует предприятиям предпринять несколько шагов.

1. Знайте свое окружение.

Это означает инвентаризацию всего оборудования и программного обеспечения, которое у вас есть, а также версию каждого из них. Чтобы защитить себя, нужно точно знать, чем вы владеете.

«Каковы ваши активы, как выглядит ваша инфраструктура, как выглядит ваша сеть?» — сказал Пелгрин. «Может быть известная уязвимость, и вы можете даже не подозревать, что она находится в вашей инфраструктуре, и без вашего ведома она может быть полностью включена во всей вашей инфраструктуре и, следовательно, делает вас очень уязвимым для атаки».

2. Защитите свою среду.

Доведите свое оборудование, программное обеспечение и сеть до высочайшего уровня безопасности. Пелгрин сказал, что когда малые предприятия покупают новое аппаратное и программное обеспечение, они не всегда имеют новейшие меры безопасности. Он добавил, что очень важно, чтобы предприятия проверяли каждую единицу оборудования и загружали все последние исправления безопасности. Кроме того, он сказал, что все настройки безопасности должны быть подняты настолько, насколько это возможно, не мешая работе.

3. Контролируйте свое окружение.

Пелгрин сказал, что крайне важно, чтобы компании не предоставляли всем своим сотрудникам полный доступ к своей сети и данным. Он сказал, что у сотрудников не должно быть доступа к более высоким уровням администрирования, чем им нужно, и им не должно быть позволено загружать все, что они хотят, откуда угодно.

«Большинство ваших сотрудников не должны иметь полный административный доступ к своим машинам», — добавил Пелгрин. «Этот административный доступ должен быть ограничен очень немногими доверенными лицами».

4. Оцените состояние кибербезопасности вашего поставщика.

Предприятия хотят, чтобы поставщики, с которыми они работают, также имели строгие уровни безопасности. Пелгрин сказал, что очень важно иметь документацию от организаций, которым вы передаете часть своего бизнеса на аутсорсинг, о том, какие именно меры безопасности они применяют. «Он должен соответствовать стандартам того, что вы бы использовали внутри компании».

5. Следите за своим окружением.

Это включает в себя постоянную самодиагностику систем и сети, чтобы убедиться, что они работают так, как должны.

«Не нужно быть кибер-экспертом, чтобы понять, что что-то не так, — сказал Пелгрин. «Ваша интуиция — отличный первый признак того, что что-то может быть не так, а затем вам нужно обратиться к тем, у кого есть опыт, чтобы помочь диагностировать, действительно ли вы стали жертвой кибер-инцидента».

Пелгрин также призывает ежемесячно посвящать время обучению сотрудников важности кибербезопасности и тому, как они могут избежать утечек. «Вы хотите сделать это реальным для сотрудников, и единственный способ сделать это — говорить об этом и практиковать».

Коск считает, что ключевым шагом в обеспечении безопасности ваших бизнес-данных является наем персонала, основной обязанностью которого является безопасность. «Это должно быть что-то, о чем кто-то думает каждый день, потому что это их работа».

Снижение ущерба от утечки данных

Компании должны иметь четкую стратегию действий в случае взлома, поскольку многие эксперты, в том числе Kosc, считают, что вопрос не в том, произойдет ли это, а в том, когда он произойдет.

«Вы хотите иметь план до того, как произойдет что-то подобное, поэтому, когда событие действительно произойдет, вы знаете, что делать и как максимально ограничить ответственность», — сказал он.

Частью этого плана является знание того, к кому обратиться за помощью. По словам Пелгрина, во времена кризиса вы не хотите тратить время на выяснение того, кто может вам помочь. «Вы хотите, чтобы эти отношения были заранее и на месте».

Чем может помочь киберстрахование

Страховые компании являются относительно новым источником помощи для бизнеса. В течение последних нескольких лет многие начали предлагать страховку от утечки данных.

Линн Лаграм, помощник вице-президента по малому коммерческому андеррайтингу в The Hartford, сказала, что ее компания предлагает страхование утечки данных с 2011 года, и его покрытие состоит из двух частей:

• Покрытие ответа покрывает расходы на реагирование, такие как уведомление клиентов после нарушения, организация кредитного мониторинга для затронутых клиентов, найм фирмы по связям с общественностью для восстановления репутационного ущерба, а также наем юридических и судебно-медицинских экспертов для оценки того, действительно ли имело место нарушение и откуда оно произошло. от. Hartford указывает, что сумма, которую получают предприятия, зависит от того, сколько и какого типа информации они хранят, истории их претензий, количества клиентов и их дохода.
• Покрытие расходов покрывает расходы, с которыми могут столкнуться малые предприятия, если потребители, чья информация была украдена, подадут против них какие-либо иски.

«(Покрытие расходов) покрывает гражданско-правовые выплаты, расчеты или судебные решения, которые владелец малого бизнеса будет юридически обязан выплатить в результате утечки данных», — сказал Лаграм.

Коск сказал, что большинство гражданских исков, возбужденных против организаций, которые потеряли данные, на данный момент неэффективны, потому что во многих из этих ситуаций потребители не могут доказать, что воры каким-либо образом использовали их украденную информацию.

«До сих пор не так много было успешных, потому что они должны быть в состоянии показать реальный вред», — сказал Коск. «Пока вы не докажете фактическое причинение вреда, (суд) не может присудить вам компенсацию».

В то время как малые предприятия изначально не спешили внедрять страхование от утечки данных, ЛаГрэм сказал, что все больше из них — особенно в свете громких дел прошлого года — добавляют его в свой арсенал защиты. «Нарушение данных — одно из наших самых продаваемых дополнительных покрытий».

Восстановление репутации и доверия клиентов

По словам Пелгрина, чтобы компании начали восстанавливать репутацию своего бренда и восстанавливать доверие после утечки данных, они должны быть откровенны с клиентами, когда это произойдет.

«Я твердо верю в (поговорку о том), что дело не в том, случается ли что-то плохое, а в том, как вы реагируете, когда происходит что-то плохое», — сказал он. «Это показывает качество компании и… людей, которые работают в этой компании».

Пелгрин сказал, что последнее, чего хочет ваш бизнес, — это чтобы информация о взломе вышла через шесть месяцев после того, как она произошла, и чтобы клиенты думали, что вы ничего не сделали по этому поводу, потому что вам это не нужно. «Тогда вы можете попытаться оправдать, почему вы держали эту информацию».

Главное — предупредить клиентов, как только у вас появится конкретная информация о взломе.

«Нельзя вселять страх в людей, — сказал Пелгрин. «Вам действительно нужно знать, что произошло, поэтому, когда вы предоставляете информацию, она должна быть очень четкой: «это то, что мы знаем, это то, что произошло, и это то, что мы рекомендуем для смягчения последствий».

ЛаГрэм сказал, что малый бизнес должен понимать, что с ним может случиться такое.

«Владельцы малого бизнеса нацелены на гораздо более высокие темпы, чем более крупные предприятия, потому что к ним легче проникнуть», — сказала она. «Это очень легко сделать в условиях малого бизнеса».

Лия Зиттер участвовала в написании и написании этой статьи. Источник интервью были проведены для предыдущей версии этой статьи.