Μάθετε για τις απειλές για την ασφάλεια στον κυβερνοχώρο και πώς να προστατευτείτε.
Γιατί έχει σημασία η κυβερνοασφάλεια
@BusinessConsulting
Οι κυβερνοεπιθέσεις κοστίζουν στην οικονομία των ΗΠΑ δισεκατομμύρια δολάρια ετησίως και αποτελούν απειλή για άτομα και οργανισμούς. Οι μικρές επιχειρήσεις είναι ιδιαίτερα ελκυστικοί στόχοι επειδή διαθέτουν πληροφορίες που θέλουν οι κυβερνοεγκληματίες (κακοί παράγοντες, ξένες κυβερνήσεις κ.λπ.) και συνήθως δεν διαθέτουν την υποδομή ασφαλείας των μεγαλύτερων επιχειρήσεων για να προστατεύσουν επαρκώς τα ψηφιακά τους συστήματα για την αποθήκευση, την πρόσβαση και τη διάδοση δεδομένων και πληροφοριών .
Έρευνες έχουν δείξει ότι η πλειοψηφία των ιδιοκτητών μικρών επιχειρήσεων αισθάνεται ότι οι επιχειρήσεις τους είναι ευάλωτες σε κυβερνοεπίθεση. Ωστόσο, πολλές μικρές επιχειρήσεις δεν μπορούν να αντέξουν οικονομικά επαγγελματικές λύσεις πληροφορικής, έχουν περιορισμένο χρόνο για να αφιερώσουν στην ασφάλεια στον κυβερνοχώρο και δεν ξέρουν από πού να ξεκινήσουν.
Ξεκινήστε μαθαίνοντας για κοινές βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο, κατανοώντας κοινές απειλές και αφιερώνοντας πόρους για την αντιμετώπιση και τη βελτίωση της κυβερνοασφάλειάς σας.
Βέλτιστες πρακτικές για την πρόληψη κυβερνοεπιθέσεων
@BusinessConsulting
Εκπαιδεύστε τους υπαλλήλους σας
Οι εργαζόμενοι και οι επικοινωνίες τους που σχετίζονται με την εργασία αποτελούν κύρια αιτία παραβιάσεων δεδομένων για μικρές επιχειρήσεις, επειδή αποτελούν άμεσες οδούς στα συστήματά σας. Η εκπαίδευση των εργαζομένων στις βασικές βέλτιστες πρακτικές χρήσης του Διαδικτύου μπορεί να συμβάλει σημαντικά στην πρόληψη κυβερνοεπιθέσεων.
Άλλα θέματα κατάρτισης που πρέπει να καλυφθούν περιλαμβάνουν:
Εντοπισμός email phishing
Χρήση καλών πρακτικών περιήγησης στο Διαδίκτυο
Αποφυγή ύποπτων λήψεων
Ενεργοποίηση εργαλείων ελέγχου ταυτότητας (π.χ. ισχυροί κωδικοί πρόσβασης, έλεγχος ταυτότητας πολλαπλών παραγόντων, κ.λπ.)
Προστασία ευαίσθητων πληροφοριών προμηθευτών και πελατών
Ασφαλίστε τα δίκτυά σας
Προστατέψτε τη σύνδεσή σας στο Διαδίκτυο κρυπτογραφώντας πληροφορίες και χρησιμοποιώντας ένα τείχος προστασίας. Εάν διαθέτετε δίκτυο Wi-Fi, βεβαιωθείτε ότι είναι ασφαλές και κρυφό. Για να αποκρύψετε το δίκτυό σας Wi-Fi, ρυθμίστε το σημείο ασύρματης πρόσβασης ή τον δρομολογητή σας, ώστε να μην εκπέμπει το όνομα του δικτύου, γνωστό ως Αναγνωριστικό συνόλου υπηρεσιών (SSID). Πρόσβαση στον δρομολογητή με προστασία κωδικού πρόσβασης. Εάν έχετε υπαλλήλους που εργάζονται εξ αποστάσεως, χρησιμοποιήστε ένα εικονικό ιδιωτικό δίκτυο (VPN) για να τους επιτρέψετε να συνδεθούν με ασφάλεια στο δίκτυό σας εκτός γραφείου.
Χρησιμοποιήστε λογισμικό προστασίας από ιούς και κρατήστε όλο το λογισμικό ενημερωμένο
Βεβαιωθείτε ότι όλοι οι υπολογιστές της επιχείρησής σας είναι εξοπλισμένοι με λογισμικό προστασίας από ιούς και ενημερώνονται τακτικά. Τέτοιο λογισμικό μπορεί να βρεθεί στο διαδίκτυο από μια ποικιλία διαφορετικών προμηθευτών. Όλοι οι προμηθευτές λογισμικού παρέχουν τακτικά ενημερώσεις κώδικα και ενημερώσεις στα προϊόντα τους για τη διόρθωση προβλημάτων ασφαλείας και τη βελτίωση της λειτουργικότητας. Συνιστάται να διαμορφώσετε όλο το λογισμικό για αυτόματη εγκατάσταση ενημερώσεων. Εκτός από την ενημέρωση του λογισμικού προστασίας από ιούς, είναι σημαντικό να ενημερώνετε το λογισμικό που σχετίζεται με λειτουργικά συστήματα, προγράμματα περιήγησης ιστού και άλλες εφαρμογές, καθώς αυτό θα συμβάλει στην ασφάλεια ολόκληρης της υποδομής σας.
Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων
Ο έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA) είναι ένας μηχανισμός για την επαλήθευση της ταυτότητας ενός ατόμου απαιτώντας του να παρέχει περισσότερα από ένα τυπικό όνομα χρήστη και κωδικό πρόσβασης. Το MFA συνήθως απαιτεί από τους χρήστες να παρέχουν δύο ή περισσότερα από τα ακόλουθα: κάτι που γνωρίζει ο χρήστης (κωδικός πρόσβασης, φράση, PIN), κάτι που έχει ο χρήστης (φυσικό διακριτικό, τηλέφωνο) και/ή κάτι που αντιπροσωπεύει φυσικά τον χρήστη (δαχτυλικό αποτύπωμα, αναγνώριση προσώπου ). Επικοινωνήστε με τους προμηθευτές σας για να δείτε εάν προσφέρουν MFA για τους διάφορους τύπους λογαριασμών σας (π.χ. χρηματοοικονομικά, λογιστικά, μισθοδοτικά).
Παρακολούθηση και διαχείριση λογαριασμών Παρόχου Υπηρεσιών Cloud (CSP).
Εξετάστε το ενδεχόμενο να χρησιμοποιήσετε ένα CSP για να φιλοξενήσετε τις πληροφορίες, τις εφαρμογές και τις υπηρεσίες συνεργασίας του οργανισμού σας, ειδικά εάν χρησιμοποιείτε μια υβριδική δομή εργασίας. Οι πάροχοι λογισμικού ως υπηρεσία (SaaS) για παραγωγικότητα ηλεκτρονικού ταχυδρομείου και στο χώρο εργασίας μπορούν να βοηθήσουν στην ασφαλή επεξεργασία των δεδομένων.
Ασφαλίστε, προστατέψτε και δημιουργήστε αντίγραφα ασφαλείας ευαίσθητων δεδομένων
Ασφαλής επεξεργασία πληρωμών - Συνεργαστείτε με τις τράπεζες ή τους υπεύθυνους επεξεργασίας καρτών για να βεβαιωθείτε ότι χρησιμοποιείτε τα πιο αξιόπιστα και επικυρωμένα εργαλεία και υπηρεσίες καταπολέμησης της απάτης. Μπορεί επίσης να έχετε πρόσθετες υποχρεώσεις ασφαλείας που σχετίζονται με συμφωνίες με την τράπεζά σας ή τον επεξεργαστή πληρωμών σας. Απομονώστε τα συστήματα πληρωμών από λιγότερο ασφαλή προγράμματα και μην χρησιμοποιείτε τον ίδιο υπολογιστή για να επεξεργαστείτε πληρωμές και να περιηγηθείτε ανέμελα στο Διαδίκτυο.
Έλεγχος φυσικής πρόσβασης - Αποτρέψτε την πρόσβαση ή τη χρήση επαγγελματικών υπολογιστών από μη εξουσιοδοτημένα άτομα. Οι φορητοί υπολογιστές και οι κινητές συσκευές μπορούν να είναι ιδιαίτερα εύκολοι στόχοι για κλοπή και μπορεί να χαθούν, επομένως κλειδώστε τα όταν δεν τους παρακολουθείτε. Βεβαιωθείτε ότι έχει δημιουργηθεί ένας ξεχωριστός λογαριασμός χρήστη για κάθε υπάλληλο και απαιτεί ισχυρούς κωδικούς πρόσβασης. Τα διοικητικά προνόμια θα πρέπει να παρέχονται μόνο σε αξιόπιστο προσωπικό πληροφορικής και βασικό προσωπικό. Διεξάγετε ελέγχους πρόσβασης σε τακτική βάση για να βεβαιωθείτε ότι οι πρώην υπάλληλοι έχουν αφαιρεθεί από τα συστήματά σας και έχουν επιστρέψει όλες τις συσκευές που έχουν εκδοθεί από την εταιρεία.
Δημιουργήστε αντίγραφα ασφαλείας των δεδομένων σας - Δημιουργήστε τακτικά αντίγραφα ασφαλείας των δεδομένων σε όλους τους υπολογιστές σας. Οι μορφές κρίσιμων δεδομένων περιλαμβάνουν έγγραφα επεξεργασίας κειμένου, ηλεκτρονικά υπολογιστικά φύλλα, βάσεις δεδομένων, οικονομικά αρχεία, αρχεία ανθρώπινων πόρων και αρχεία λογιστικής. Εάν είναι δυνατόν, δημιουργήστε αντίγραφα ασφαλείας δεδομένων σε αποθήκευση cloud σε εβδομαδιαία βάση.
Έλεγχος πρόσβασης δεδομένων - Ελέγχετε συχνά τα δεδομένα και τις πληροφορίες που στεγάζετε σε αποθετήρια αποθήκευσης cloud, όπως το Dropbox, το Google Drive, το Box και οι Υπηρεσίες Microsoft. Ορίστε διαχειριστές για τη μονάδα αποθήκευσης στο cloud και τα εργαλεία συνεργασίας και δώστε τους εντολή να παρακολουθούν τα δικαιώματα των χρηστών, δίνοντας στους υπαλλήλους πρόσβαση μόνο στις πληροφορίες που χρειάζονται.
Κοινές απειλές
@BusinessConsulting
Όσο σημαντικό και αν είναι να συμπεριλάβετε τις βέλτιστες πρακτικές στη στρατηγική σας για την ασφάλεια στον κυβερνοχώρο, τα προληπτικά μέτρα μπορούν να φτάσουν μόνο τόσο μακριά. Οι κυβερνοεπιθέσεις εξελίσσονται συνεχώς και οι ιδιοκτήτες επιχειρήσεων θα πρέπει να γνωρίζουν τους πιο συνηθισμένους τύπους. Για να μάθετε περισσότερα σχετικά με μια συγκεκριμένη απειλή, κάντε κλικ στον σύνδεσμο που παρέχεται για να δείτε ένα σύντομο βίντεο ή ένα ενημερωτικό δελτίο.
Κακόβουλο λογισμικό
Το κακόβουλο λογισμικό (κακόβουλο λογισμικό) είναι ένας γενικός όρος που αναφέρεται σε λογισμικό που έχει σχεδιαστεί σκόπιμα για να προκαλέσει βλάβη σε έναν υπολογιστή, διακομιστή ή δίκτυο υπολογιστών. Το κακόβουλο λογισμικό μπορεί να περιλαμβάνει ιούς και ransomware.
Ιούς
Οι ιοί είναι επιβλαβή προγράμματα που προορίζονται να εξαπλωθούν από υπολογιστές σε άλλες συνδεδεμένες συσκευές όπως μια ασθένεια. Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ιούς για να αποκτήσουν πρόσβαση στα συστήματά σας και να προκαλέσουν σημαντικά και μερικές φορές μη επισκευάσιμα ζητήματα.
Ransomware
Το Ransomware είναι ένας συγκεκριμένος τύπος κακόβουλου λογισμικού που μολύνει και περιορίζει την πρόσβαση σε έναν υπολογιστή μέχρι να παρασχεθεί κάποιου είδους λύτρα. Το Ransomware συνήθως κρυπτογραφεί δεδομένα στη συσκευή του θύματος και απαιτεί χρήματα σε αντάλλαγμα για μια υπόσχεση για επαναφορά των δεδομένων. Το Ransomware εκμεταλλεύεται μη επιδιορθωμένα τρωτά σημεία στο λογισμικό και συνήθως παραδίδεται μέσω email ηλεκτρονικού ψαρέματος.
Spyware
Το λογισμικό κατασκοπείας είναι μια μορφή κακόβουλου λογισμικού που έχει σχεδιαστεί για να συλλέγει πληροφορίες από έναν στόχο και στη συνέχεια να τις στέλνει σε άλλη οντότητα χωρίς συγκατάθεση. Υπάρχουν τύποι spyware που είναι νόμιμοι, νόμιμοι και λειτουργούν για εμπορικούς σκοπούς, όπως διαφημιστικά δεδομένα που συλλέγονται από πλατφόρμες μέσων κοινωνικής δικτύωσης, ωστόσο κακόβουλο λογισμικό υποκλοπής spyware χρησιμοποιείται συχνά για την κλοπή πληροφοριών και την αποστολή τους σε άλλα μέρη.
Phishing
Το ηλεκτρονικό ψάρεμα ( phishing) είναι ένας τύπος κυβερνοεπίθεσης που χρησιμοποιεί email ή κακόβουλο ιστότοπο για να μολύνει τον υπολογιστή ή το σύστημά σας με κακόβουλο λογισμικό ή για τη συλλογή ευαίσθητων πληροφοριών. Τα μηνύματα ηλεκτρονικού ψαρέματος εμφανίζονται σαν να έχουν σταλεί από νόμιμο οργανισμό ή γνωστό άτομο. Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου συχνά δελεάζουν τους χρήστες να κάνουν κλικ σε έναν σύνδεσμο ή να ανοίξουν ένα συνημμένο που περιέχει κακόβουλο κώδικα. Να είστε πολύ προσεκτικοί με το άνοιγμα συνδέσμων από άγνωστες πηγές. Εάν κάτι φαίνεται ύποπτο από μια γνωστή πηγή, μην κάνετε απλώς κλικ σε αυτό - ρωτήστε απευθείας την πηγή εάν είναι νόμιμο.
Αξιολογήστε τον επιχειρηματικό σας κίνδυνο
@BusinessConsulting
Το πρώτο βήμα για τη βελτίωση της κυβερνοασφάλειας της επιχείρησής σας είναι η κατανόηση του κινδύνου επίθεσης και όπου μπορείτε να κάνετε βελτιώσεις για την προστασία των δεδομένων και των συστημάτων σας.
Μια αξιολόγηση κινδύνου κυβερνοασφάλειας μπορεί να εντοπίσει πού είναι ευάλωτη μια επιχείρηση και να σας βοηθήσει να δημιουργήσετε ένα σχέδιο δράσης, το οποίο θα πρέπει να περιλαμβάνει καθοδήγηση σχετικά με την εκπαίδευση των χρηστών, την ασφάλεια των πλατφορμών ηλεκτρονικού ταχυδρομείου και την προστασία των πληροφοριακών συστημάτων και των δεδομένων της επιχείρησής σας.
Εργαλεία σχεδιασμού και αξιολόγησης
Δεν υπάρχει υποκατάστατο για την αποκλειστική υποστήριξη IT, είτε πρόκειται για υπάλληλο είτε για εξωτερικό σύμβουλο, αλλά αυτοί οι πόροι μπορεί να είναι ακριβοί. Ακολουθεί μια λίστα μέτρων (με σημειωμένους συγκεκριμένους πόρους) που μπορούν να λάβουν όλες οι επιχειρήσεις για να βελτιώσουν την ασφάλεια στον κυβερνοχώρο.
Δημιουργήστε ένα σχέδιο κυβερνοασφάλειας. Η Ομοσπονδιακή Επιτροπή Επικοινωνιών (FCC) προσφέρει ένα εργαλείο προγραμματισμού κυβερνοασφάλειας (The Small Biz Cyber Planner 2.0) για να σας βοηθήσει να δημιουργήσετε μια προσαρμοσμένη στρατηγική και σχέδιο ασφάλειας στον κυβερνοχώρο με βάση τις μοναδικές επιχειρηματικές σας ανάγκες.
Διεξάγετε μια αναθεώρηση Cyber Resilience - Το DHS συνεργάζεται με την Ομάδα Αντιμετώπισης Έκτακτης Ανάγκης Υπολογιστών (CERT) του Ινστιτούτου Μηχανικής Λογισμικού του Πανεπιστημίου Carnegie Mellon για τη δημιουργία της Επισκόπησης Cyber Resilience (CRR) . Αυτή είναι μια μη τεχνική αξιολόγηση για την αξιολόγηση της επιχειρησιακής ανθεκτικότητας και των πρακτικών ασφάλειας στον κυβερνοχώρο. Μπορείτε είτε να ολοκληρώσετε την αξιολόγηση μόνοι σας είτε να ζητήσετε διευκολυνόμενη αξιολόγηση από επαγγελματίες της κυβερνοασφάλειας του DHS.
Πραγματοποιήστε σαρώσεις ευπάθειας - DHS, μέσω της υπο-υπηρεσίας του: Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) προσφέρει επίσης δωρεάν σάρωση ευπάθειας στον τομέα της υγιεινής στον κυβερνοχώρο για μικρές επιχειρήσεις. Προσφέρουν αρκετές υπηρεσίες σάρωσης και δοκιμών για να βοηθήσουν τους οργανισμούς να αξιολογήσουν την έκθεση σε απειλές για να βοηθήσουν τελικά στην ασφάλεια των συστημάτων αντιμετωπίζοντας γνωστά τρωτά σημεία και προσαρμόζοντας τις διαμορφώσεις.
Διαχειριστείτε τον κίνδυνο της εφοδιαστικής αλυσίδας τεχνολογίας επικοινωνιών πληροφοριών (ΤΠΕ) - Χρησιμοποιήστε το Εργαλείο Διαχείρισης Κινδύνων Εφοδιαστικής Αλυσίδας ΤΠΕ για να προστατεύσετε την τεχνολογία πληροφοριών και επικοινωνιών της επιχείρησής σας από εξελιγμένες επιθέσεις εφοδιαστικής αλυσίδας. Αναπτύχθηκε από την CISA, αυτή η εργαλειοθήκη περιλαμβάνει στρατηγικά μηνύματα, μέσα κοινωνικής δικτύωσης, βίντεο και πόρους και έχει σχεδιαστεί για να σας βοηθήσει να αυξήσετε την ευαισθητοποίηση και να μειώσετε τον αντίκτυπο των κινδύνων της εφοδιαστικής αλυσίδας.
Επωφεληθείτε από τις δωρεάν υπηρεσίες και εργαλεία κυβερνοασφάλειας - η CISA έχει επίσης συντάξει μια λίστα με δωρεάν πόρους κυβερνοασφάλειας, συμπεριλαμβανομένων υπηρεσιών που παρέχονται από την CISA, ευρέως χρησιμοποιούμενων εργαλείων ανοιχτού κώδικα και δωρεάν υπηρεσιών που προσφέρονται από οργανισμούς του ιδιωτικού και του δημόσιου τομέα σε όλη την κοινότητα της κυβερνοασφάλειας. Χρησιμοποιήστε αυτό το ζωντανό αποθετήριο πόρων για να προωθήσετε περαιτέρω τις δυνατότητες ασφαλείας σας. Η CISA παρέχει επίσης καθοδήγηση για τις μικρές επιχειρήσεις .
Διατηρήστε τη συμμόρφωση των συνεργατών του κλάδου του Υπουργείου Άμυνας (εάν υπάρχει ) - Ιδιαίτερη σημασία για ομοσπονδιακούς εργολάβους και υπεργολάβους είναι το πρόγραμμα Cybersecurity Maturity Model Certification (CMMC). Σκοπός του είναι να προστατεύσει τις Ελεγχόμενες Μη Διαβαθμισμένες Πληροφορίες (CUI) που κοινοποιούνται από το Υπουργείο Άμυνας. Το CMMC είναι ένα πλαίσιο και πρόγραμμα πιστοποίησης αξιολογητών που παρέχει ένα μοντέλο στους εργολάβους ώστε να πληρούν ένα σύνολο προτύπων και απαιτήσεων ασφάλειας στον κυβερνοχώρο. Βασίζεται σε ένα μοντέλο 3 επιπέδων (Foundational, Advanced, Expert) που απαιτεί από τις εταιρείες να εφαρμόζουν μέτρα ασφαλείας (και να αξιολογούνται ανάλογα), ανάλογα με την ευαισθησία των πληροφοριών. Η θέσπιση κανόνων βρίσκεται επί του παρόντος σε εξέλιξη, αλλά είναι σημαντικό για τους εργολάβους να παραμείνουν ενήμεροι με τις απαιτήσεις, καθώς θα απαιτείται ένα συγκεκριμένο επίπεδο CMMC ως προϋπόθεση για την ανάθεση της σύμβασης.
