Küçük İşletmenizi Zarar Veren Siber Saldırılardan Nasıl Korursunuz?

Küçük İşletmenizi Koruma

Ekim, İç Güvenlik Bakanlığı tarafından Ulusal Siber Güvenlik Farkındalık Ayı olarak belirlendi. Ve işinizin siber güvenlik konusunda endişelenmek için çok küçük olduğunu düşünüyor olsanız da yanılıyorsunuz.

Geçenlerde Phoenix Üniversitesi'nde Siber Güvenlik Fakültesi Lideri ve Trace3'te Baş Güvenlik Danışmanı olan Stephanie Benoit-Kurtz ile küçük işletme sahiplerinin şirketlerini siber saldırılardan en iyi nasıl koruyabilecekleri hakkında konuştum.

Birçok küçük işletme sahibi ve startup, işletmelerinin siber suçluların hackleme zahmetine giremeyecek kadar küçük olduğunu düşünüyor. Bunun yanlış olduğunu biliyorum. Küçük işletmeler ne gibi tehlikelerle karşı karşıya?

Stephanie Benoit-Kurtz: Küçük işletmeler çeşitli nedenlerle bir hedef. Kötü aktörler, bir olayı yanıtlayacak veya önleyecek büyük BT ekiplerine veya sistemlerine sahip olmayabileceklerinin farkındadır. FBI'a göre, siber suçlar 2020'de işletmelere 2,7 milyar dolardan fazlaya mal oldu. 791.000'den fazla şikayetle kötü aktörler, çabadan para kazanabilecekleri yere gidiyor.

Küçük işletmeler hangi siber güvenlik risklerine dikkat etmelidir?

Benoit-Kurtz: Büyük ve küçük kuruluşlar saldırıya uğradıkça, KOBİ saldırılarının sıklığı artıyor ve şimdi daha büyük kuruluşlarla aradaki farkı kapatıyor. Verizon'a göre, DBIR Raporunda , daha küçük organizasyon ihlallerinin sıklığı yıldan yıla arttı. Sisteme izinsiz giriş, hala olaylara en çok katkıda bulunanlardan biridir. Bu, kötü aktörlerin verilere ve sistemlere eriştiği zamandır.

Küçük işletmeler için en yaygın siber tehditler nelerdir? Sanal/uzak bir işletme işletiyorsanız bunlar farklılık gösterir mi?

Benoit-Kurtz: E-posta ve sosyal mühendislik dolandırıcılıkları tüm işletmeleri alt üst etmeye devam ediyor. PWC, çeşitli finans kurumlarında bir kimlik avı simülasyonu yürüttü ve e-postaların %70'i, %7'lik bir son kullanıcı tıklama oranıyla teslim edildi. Kuruluşunuzu kötü bir aktöre ifşa etmek için yalnızca bir tıklama yeterlidir. Çok sayıda yük hala e-posta yoluyla geliyor. CISA, kimlik avı ve sosyal mühendisliğin kurbanı olmaktan nasıl kaçınılacağına dair bazı harika ipuçlarına sahiptir.

Bu sorunlar, sanal veya uzak işletmeler ile yerinde işletmeler arasında önemli ölçüde farklılık göstermez. Kuruluşların, olayları azaltmak için düzenli olarak kimlik avı ve sosyal mühendislik eğitimi sağlaması gerekir. Birkaç uzman, çalışanları kimlik avı ve sosyal mühendislik durumlarını belirleme konusunda eğiten kuruluşlar tarafından tahmini olarak %70'lik bir riskin azaltılabileceğini paylaşıyor. Bu sorun yalnızca COVID-19 salgını sırasında katlanarak arttı. 2020 Kimlik Avı ve Dolandırıcılık Raporunda , F5, pandemi sırasında kimlik avı saldırılarının %220 arttığını bildiriyor.

En iyi savunma iyi bir saldırıdır ve küçük işletmeler, çalışanların kimlik avına ve sosyal mühendislik eğitimine yatırım yapmalıdır. Hizmetler nispeten ucuzdur ve küçük bir işletme için ekstra bir koruma katmanı sağlayabilir.

Önerdiğiniz bir şifre politikası var mı?

Benoit-Kurtz: Diğer önde gelen tehdit, kimlik bilgisi hırsızlığıdır. Oturum açma bilgileri ve parolalar, güvenli olmayan bir bağlantı yoluyla veya ihlal edilen önceki bir kuruluşta kullanıldıkları için açığa çıkar. Tüm sosyal medyanızın, kişisel e-postanızın ve diğer oturum açma bilgileriniz ve şifrelerinizin bir yerde bir ihlalde ifşa edildiğini varsayın. İş hesaplarınız için oturum açma bilgilerini veya parolaları yeniden kullanmayın.

Genellikle bir kuruluş ihlal edildiğinde, oturum açma bilgileri ve parolalar, bilgisayar korsanlarının listeleri satın aldığı ve ardından hedef odaklı kimlik avı türünde bir yaklaşımla kurbanları aradığı Darkweb'de satışa çıkar. İkinci öneri, şifrenizi biraz daha karmaşık hale getirmektir. Örneğin, çocuğunuzun veya evcil hayvanınızın adını değil, özel karakterler ve sayılar içeren bir parola kullanın. Bazen çalışanlar şifre yorgunluğundan muzdariptir. Bir parola kasası daha iyi bir çözüm olabilir. Bu, benzersiz parolalar oluşturur ve çalışanlara hesaplarını yönetmelerine yardımcı olacak bir araç sunar. PC Magazine , farklı çözümlerin avantajlarını sıraladıkları "2021 için En İyi Şifre Yöneticileri" hakkında harika bir makale yayınladı.

Benoit-Kurtz: Çalışanlar kafelerde, havaalanlarında, otel odalarında vb. çalışıyorsa verileri nasıl güvende tutuyorsunuz?

Kafelerde, otellerde, restoranlarda ve havaalanlarındaki ücretsiz ağlar güvensizdir. Bu kullanışlı ve bağlanması kolay hizmetler yönetilmeyen hizmetlerdir ve şüpheli olmayan kullanıcıları avlayan bilgisayar korsanlarına saldırır. Otel oda numaranızı veya bir tür şifre girmeniz gerekse bile, bu muhtemelen kişisel ve şirket verilerinizin risk altında olabileceği korumasız bir ağdır. Çalışanlara cep telefonlarında veya erişim noktalarında güvenli ağ erişimine izin veren veri planları sağlamaya çalışın. Burası, bilgisayarınızı bir cep telefonuna veya başka bir LTE cihazına giden güvenli bir ağ bağlantısına bağladığınız yerdir. Bu tür bir bağlantı, işbirliği yapması gereken ekipler için de işe yarar. ComputerWorld, “Akıllı Telefonunuzu Mobil Bağlantı Noktası Olarak Nasıl Kullanırsınız” makalesinde, bu basit uygulamanın küçük işletme güvenlik duruşunu nasıl iyileştirebileceğine ilişkin ayrıntılar sağlar.

VPN nedir ve küçük bir işletme nasıl kurulur?

Benoit-Kurtz: Uzaktan çalışma veya uzaktan çalışma sırasında halka açık interneti kullanmanız gerekiyorsa, ek bir güvenlik katmanı oluşturmak için Sanal Özel Ağ (VPN) mükemmel bir çözümdür. Bir VPN'i bir şeker parçasının etrafını saran bir paket olarak düşünün. Ambalaj, şekeri içeride ve diğer kirleticileri dışarıda tutar. VPN yazılımı, internet bağlantınız çevresinde şifreleme koruması sağlayarak bilgisayar korsanlarının iletişimi kesmesini çok daha zor hale getirir. Ayrıca, yazılım/hizmet nispeten ucuzdur ve küçük işletmelerin kendi VPN'lerini oluşturmalarına gerek yoktur. Bunun yerine, büyük maliyetler olmadan güvenlik sağlayan bir ürünü piyasadan temin edebilirler.

Çalışanların bu yönergeleri izlemesini nasıl sağlarsınız?

Benoit-Kurtz: Sağlam bir güvenlik programının parçası, farkındalık eğitimi, araçlar ve kullanımla ilgili ölçümleri içerir. Küçük işletmeler uyanık olmalıdır. Çalışanların makinelerini uç nokta korumasına sahip olmaya zorlamak için yapılandırma yönetimi uygulanabilir. VPN istemcileri, uzak olduğunuzda kullanılmalı ve rastgele ağlara bağlantılara izin verilmemelidir. Ayrıca, uyumlu kalmaları için çalışanları hediye kartları ve şirket yağmalarıyla ödüllendirmek gibi eğlenceli hale getirebilirsiniz. Emek veren kullanıcıları tanıyın.

Bir ihlalin maliyeti nedir?

Benoit-Kurtz: Basitçe söylemek gerekirse, ihlaller pahalıdır. Küçük bir işletme olarak müşterilerinizin itibarı ve güveni risk altında olabilir. Küçük İşletme Eğilimleri, bir küçük işletme ihlalinin ortalama maliyetinin 25.000 ABD Doları olduğunu tahmin ediyor. Ve IBM, yıllık Veri İhlalinin Maliyeti Raporunda , son iki yılda bu maliyetlerin %10'un üzerinde arttığını söylüyor. Ancak, bu maliyet, müşterilerin rekabet için ayrıldığında müşteri güveninin kaybını ve buna bağlı iş kaybını içermez.

Küçük işletmenizi siber güvenli hale getirmek pahalı mı?

Benoit-Kurtz: Hayır, güçlü siber güvenlik korumasına sahip olmak pahalı olmak zorunda değil. Bir yataktaki battaniyeler gibi düşünün. Siber güvenlik, kullanıcıları koruyan farklı teknoloji ve süreç katmanları sağlar. Eğitim, VPN yazılımı, uç nokta koruması ve etkin noktaların tümü riski büyük ölçüde azaltır ve büyük bir BT personeli olmadan uygulanabilir. Küçük bir işletme olarak, bütçenize uygun çözümler ve ölçeklendirme konusunda size yardımcı olacak bir güvenlik ortağı arayın.

Küçük işletmelere güvenlik yolculuklarında yardımcı olacak birçok harika kaynak var. SBA çok sayıda harika materyal yayınlar ve şirketlere güvenlik yolculuklarında yardımcı olma konusunda uzmanlaşmış güvenlik kuruluşları vardır. Başlamak için harika bir yol, bir güvenlik ortağını bir güvenlik riski değerlendirmesi sağlamaya ve başlamanıza yardımcı olmaya davet etmektir. Harika bir güvenlik ortağı, yalnızca zayıf noktalarınızı bulmanıza yardımcı olmakla kalmaz, aynı zamanda tehdit ortamı değiştikçe güvenlik programınızı da büyütür. Bir güvenlik ortağınız yoksa, ödevinizi yapın ve uygun olanı bulmak için birkaç kuruluşla görüşün.

Elbette SCORE danışmanınız doğru seçimi yapmanıza yardımcı olabilir. Bugün bir tane bulun.