Di Ron Teixeira
Negli ultimi due anni, ci sono stati una serie di casi di violazione dei dati di alto profilo che coinvolgono importanti società. Mentre questo può dare la percezione che solo le grandi aziende sono prese di mira da hacker e ladri, la realtà è che gli hacker stanno sempre più prendendo di mira le piccole imprese perché di solito non hanno le risorse o il know-how che fanno le grandi aziende.
Tuttavia, ciò non significa che le piccole imprese debbano spendere una grande somma di denaro e risorse per proteggersi per le ultime minacce. In effetti, secondo un recente Symantec Threat Report, l'82% dei dati persi o rubati avrebbe potuto essere evitato se l'azienda avesse seguito un semplice piano di sicurezza informatica.
Per iniziare lo sviluppo di un piano di sicurezza informatica, è necessario comprendere le minacce di Internet e in che modo proteggere la propria attività da quelle minacce influisce direttamente sulla redditività. Di conseguenza, la National Cyber Security Alliance, i cui partner includono il Department of Homeland Security, il Federal Bureau of Investigations, Small Business Administration, National Institute for Standards and Technology, Symantec, Microsoft, CA, McAfee, AOL e RSA, ha sviluppato il meglio 5 minacce che la tua piccola impresa potrebbe dover affrontare su Internet, casi aziendali su come queste minacce possono farti del male e misure pratiche che puoi adottare per evitare queste minacce.
Ecco un riepilogo delle cinque principali minacce:
- # 1: codice dannoso. Una bomba del software della ditta produttrice di nord-est distrusse tutti i programmi aziendali e i generatori di codice. Successivamente la società ha perso milioni di dollari, è stata rimossa dalla sua posizione nel settore e alla fine ha dovuto licenziare 80 lavoratori. Per assicurarti che ciò non accada, installa e utilizza programmi anti-virus, programmi anti-spyware e firewall su tutti i computer della tua azienda. Inoltre, assicurati che tutto il software sia aggiornato e contenga le patch più recenti (vale a dire, sistema operativo, anti-virus, anti-spyware, anti-adware, firewall e software per l'automazione degli uffici).
- # 2: laptop o dispositivo mobile rubati / persi. L'anno scorso, un laptop del dipendente del Department of Veterans Affairs è stato rubato dalla sua casa. Il portatile conteneva 26,5 milioni di anamnesi di veterani. Alla fine, il laptop è stato recuperato e i dati non sono stati utilizzati; tuttavia, il VA ha dovuto notificare 26,5 milioni di veterani dell'incidente, con conseguente audizioni al Congresso e controllo pubblico. Per evitare che ciò accada, proteggere i dati dei clienti quando li si trasporta ovunque su un dispositivo portatile crittografando tutti i dati che risiedono in esso. I programmi di crittografia codificano i dati o li rendono illeggibili per gli estranei, finché non si inserisce una password o una chiave di crittografia.
- 3: Spear Phishing. Un produttore di biciclette di medie dimensioni ha fatto molto affidamento sulla posta elettronica per condurre affari. Nel corso di un normale giorno lavorativo, la società ha ricevuto fino a 50.000 e-mail di spam e phishing. In un caso, un dipendente ha ricevuto un'e-mail di "spear phishing" che sembrava provenire dal reparto IT e ha chiesto al dipendente di confermare la "password dell'amministratore". Fortunatamente per l'azienda, quando il dipendente ha chiesto al responsabile di linea la " password amministratore "ha investigato ulteriormente e ha capito che l'email era una truffa. Per assicurarti che ciò non accada a te, istruisci tutti i dipendenti a contattare il proprio responsabile o semplicemente a prendere il telefono e contattare la persona che ha inviato l'e-mail direttamente. È importante rendere i dipendenti consapevoli di ciò che è un attacco di spear phishing e stare attenti a qualsiasi cosa nella loro casella di posta che sembri sospetta.
- 4: reti Internet wireless non protette. Secondo notizie, gli hacker hanno tirato fuori la "più grande violazione di dati mai fatta" attraverso una rete wireless. Una catena globale di vendita al dettaglio ha sottratto oltre 47 milioni di informazioni finanziarie da parte di hacker che si sono incrinate attraverso una rete wireless protetta dalla più bassa forma di crittografia disponibile per la società. Attualmente, questa violazione della sicurezza è costata alla società $ 17 milioni e in particolare $ 12 milioni in un solo trimestre o 3 centesimi per azione. Per assicurarti che ciò non accada, per impostazione di una rete wireless, assicurati che la password predefinita sia cambiata e assicurati di crittografare la rete wireless con WPA (Wi-Fi Protected Access).
- # 5: Insider / Minaccia dei dipendenti insoddisfatta. Un ex dipendente di un'azienda che gestisce le operazioni di volo per le principali case automobilistiche, ha cancellato le informazioni sull'occupazione critica due settimane dopo che si era dimesso dalla sua posizione. L'incidente ha provocato danni per circa $ 34.000. Per assicurarsi che ciò non accada a voi, dividere le funzioni e le responsabilità critiche tra i dipendenti all'interno dell'organizzazione, limitando la possibilità che un individuo possa commettere sabotaggio o frode senza l'aiuto di altri dipendenti all'interno dell'organizzazione.
Leggi sotto per maggiori informazioni e consigli dettagliati su come proteggere i tuoi computer -
1. Codice malevolo (spyware / virus / cavallo di Troia / worm)
Secondo un FBI Computer Crime Study del 2006, i programmi software malevoli rappresentavano il maggior numero di attacchi informatici segnalati, il che si traduceva in una perdita media di 69.125 $ per incidente. I software dannosi sono programmi informatici segretamente installati sul computer della tua azienda e possono causare danni interni a una rete di computer come l'eliminazione di file critici, oppure possono essere utilizzati per rubare password o sbloccare software di sicurezza in modo che un hacker possa rubare informazioni su clienti o dipendenti. Il più delle volte, questi tipi di programmi sono usati dai criminali per ottenere un guadagno finanziario attraverso estorsioni o furti.
Argomento di studio:
Una società di produzione nord-est ha stipulato contratti per diversi milioni di dollari per realizzare dispositivi di misurazione e strumentazione per la NASA e la Marina statunitense. Tuttavia, una mattina i lavoratori si sono trovati incapaci di accedere al sistema operativo, ricevendo invece un messaggio che il sistema era "in riparazione". Poco dopo, il server dell'azienda si è bloccato, eliminando tutti i programmi di lavorazione e produzione degli impianti. Quando il manager è andato a riprendere i nastri, ha scoperto che erano spariti e anche le singole workstation erano state spazzate via. Il CFO dell'azienda ha testimoniato che la bomba del software aveva distrutto tutti i programmi e i generatori di codice che consentivano all'azienda di personalizzare i propri prodotti e quindi di ridurre i costi. La società perse successivamente milioni di dollari, fu rimossa dalla sua posizione nel settore e alla fine dovette licenziare 80 lavoratori. La compagnia può prendere conforto nel fatto che il colpevole sia stato infine arrestato e condannato.
Consigli:
- Installa e utilizza programmi anti-virus, programmi anti-spyware e firewall su tutti i computer della tua azienda.
- Assicurati che i tuoi computer siano protetti da un firewall; I firewall possono essere dispositivi separati, integrati in sistemi wireless o un firewall software fornito con molte suite di sicurezza commerciali.
- Inoltre, assicurati che tutto il software sia aggiornato e contenga le patch più recenti (vale a dire, sistema operativo, anti-virus, anti-spyware, anti-adware, firewall e software per l'automazione degli uffici).
2. Computer portatile o dispositivo mobile rubato / smarrito
Che ci crediate o no, i laptop rubati o persi sono uno dei modi più comuni in cui le aziende perdono dati importanti. Secondo un FBI Crime Study del 2006 (PDF), un laptop rubato o perso di solito portava a una perdita media di $ 30.570.Tuttavia, un incidente di alto profilo o un incidente che richiede a un'azienda di contattare tutti i loro clienti, poiché i loro dati finanziari o personali potrebbero essere stati persi o rubati, può causare perdite molto più elevate a causa della perdita di fiducia dei consumatori, della reputazione danneggiata e persino responsabilità legale.
Argomento di studio:
L'anno scorso, un dipendente del Department of Veterans Affair ha preso una casa di laptop che conteneva 26,5 milioni di anamnesi dei veterani. Mentre il dipendente non era a casa, un intruso irruppe e rubò il portatile contenente i dati dei veterani. Alla fine, il laptop è stato recuperato e i dati non sono stati utilizzati; tuttavia, il VA ha dovuto notificare 26,5 milioni di veterani dell'incidente, con conseguente audizioni al Congresso e controllo pubblico. Questo fenomeno non è limitato al governo, nel 2006 ci sono stati un numero di casi aziendali di alto profilo che hanno coinvolto laptop persi o rubati che hanno causato violazioni dei dati. Un laptop contenente 250.000 clienti di Ameriprise è stato rubato da un'auto. Il sistema ospedaliero sanitario presidenziale ha rubato un laptop, che conteneva migliaia di cartelle cliniche dei pazienti.
Consigli:
- Proteggi i dati dei tuoi clienti quando li trasporti ovunque su un dispositivo portatile crittografando tutti i dati che vi risiedono. I programmi di crittografia codificano i dati o li rendono illeggibili per gli estranei, finché non si inserisce una password o una chiave di crittografia. Se un laptop con dati sensibili viene rubato o perso, ma i dati sono crittografati, è altamente improbabile che qualcuno sia in grado di leggere i dati. La crittografia è la tua ultima linea di difesa se i dati vengono persi o rubati. Alcuni programmi di crittografia sono incorporati nel popolare software finanziario e di database. Basta controllare il manuale del proprietario del software per scoprire se questa funzione è disponibile e come attivarla. In alcuni casi potrebbe essere necessario un programma aggiuntivo per crittografare correttamente i dati sensibili.
3. Spear Phishing
Lo spear phishing descrive qualsiasi attacco di phishing altamente mirato. Gli spear phisher inviano messaggi di posta elettronica che sembrano reali a tutti i dipendenti o membri all'interno di una determinata azienda, agenzia governativa, organizzazione o gruppo. Potrebbe sembrare che il messaggio provenga da un datore di lavoro o da un collega che potrebbe inviare un messaggio di posta elettronica a tutti i membri dell'azienda, ad esempio il responsabile delle risorse umane o la persona che gestisce i sistemi informatici, e potrebbe includere richieste di nomi utente o password.
La verità è che le informazioni sui mittenti di posta elettronica sono state simulate o "falsificate". Mentre le truffe di phishing tradizionali sono progettate per sottrarre informazioni a individui, le frodi di spear phishing funzionano per ottenere l'accesso all'intero sistema informatico di un'azienda.
Se un dipendente risponde con un nome utente o una password, o se si fa clic sui collegamenti o si aprono allegati in un messaggio di posta elettronica, finestra pop-up o sito Web di spear phishing, questi potrebbero mettere a rischio la propria azienda o organizzazione.
Argomento di studio:
Un produttore di biciclette di medie dimensioni che produceva biciclette utilizzate in gare ben note, si basava molto sull'e-mail per condurre affari. Nel corso di un normale giorno lavorativo, la società ha ricevuto fino a 50.000 e-mail di spam e phishing. Di conseguenza, la società ha installato numerosi filtri anti-spam nel tentativo di proteggere i dipendenti da e-mail fraudolente. Tuttavia, molte e-mail fraudolente passano ancora ai dipendenti. In un caso, un dipendente ha ricevuto un'e-mail di "spear phishing" che sembrava provenire dal reparto IT e ha chiesto al dipendente di confermare la "password dell'amministratore". Fortunatamente per l'azienda, quando il dipendente ha chiesto al responsabile di linea la " password amministratore "ha investigato ulteriormente e ha capito che l'email era una truffa. Anche se questo esempio non ha comportato una perdita finanziaria, potrebbe facilmente avere, ed è un problema comune per tutte le imprese.
Consigli:
- I dipendenti non devono mai rispondere a messaggi di spam o pop-up che affermano di appartenere a un'azienda o un'organizzazione con cui potresti trattare, ad esempio un provider di servizi Internet (ISP), una banca, un servizio di pagamento online o persino un'agenzia governativa. Le società legittime non chiederanno informazioni sensibili tramite e-mail o un link.
- Inoltre, se un dipendente riceve un'email che sembra provenire da un altro dipendente e richiede la password o qualsiasi tipo di informazione sull'account, non deve rispondere ad essa o fornire alcuna informazione sensibile via e-mail. Invece, chiedi al dipendente di contattare il proprio responsabile, o semplicemente di prendere il telefono e contattare la persona che ha inviato l'e-mail direttamente.
- È importante rendere i dipendenti consapevoli di ciò che è un attacco di spear phishing e stare attenti a qualsiasi cosa nella loro casella di posta che sembri sospetta. Il modo migliore per evitare di diventare vittima di un attacco di spear phishing è far sapere a tutti che sta accadendo prima che qualcuno perda qualsiasi informazione personale.
4. Reti Internet wireless non protette
I consumatori e le aziende stanno rapidamente adottando e implementando reti Internet wireless. Secondo uno studio InfoTech, la penetrazione delle reti Internet wireless raggiungerà l'80% entro il 2008. Mentre le reti Internet wireless offrono alle aziende l'opportunità di semplificare le loro reti e costruire una rete con pochissime infrastrutture o fili, ci sono rischi per la sicurezza che le aziende devono affrontare utilizzando le reti Internet wireless. Gli hacker e i truffatori possono accedere ai computer delle aziende attraverso una rete wireless aperta e, di conseguenza, potrebbero rubare informazioni sui clienti e persino informazioni proprietarie. Sfortunatamente, molte aziende non adottano le misure necessarie per proteggere le loro reti wireless. Secondo uno studio di Symantec / Small Business Technology Institute del 2005, il 60% delle piccole imprese ha aperto reti wireless. Inoltre, molte altre piccole imprese potrebbero non utilizzare una sicurezza wireless sufficientemente potente per proteggere i loro sistemi. Non proteggere adeguatamente una rete wireless equivale a lasciare la porta di una azienda aperta tutta la notte.
Argomento di studio:
Secondo notizie, gli hacker hanno tirato fuori la "più grande violazione di dati mai fatta" attraverso una rete wireless. Una catena globale di vendita al dettaglio ha sottratto oltre 47 milioni di informazioni finanziarie da parte di hacker che si sono incrinate attraverso una rete wireless protetta dalla più bassa forma di crittografia disponibile per la società. Nel 2005, due hacker presumibilmente parcheggiati all'esterno di un negozio e hanno usato un'antenna wireless per telegrammi per decodificare i dati tra gli scanner di pagamento palmari, consentendo loro di penetrare nel database della società madre e far cassa con record di carte di credito e debito di quasi 47 milioni di clienti. Si ritiene che gli hacker abbiano avuto accesso al database delle carte di credito per oltre due anni senza essere rilevati. Invece di utilizzare il software di crittografia più aggiornato per proteggere la propria rete wireless - WPA (Wi-Fi Protected Access), la catena di vendita al dettaglio utilizzava una vecchia forma di crittografia chiamata Wireless Equivalent Privacy (WEP), che secondo alcuni esperti può essere facilmente hackerato in appena 60 secondi. Attualmente, questa violazione della sicurezza è costata alla società $ 17 milioni e in particolare $ 12 milioni in un solo trimestre o 3 centesimi per azione.
Consigli:
- Quando si imposta una rete wireless, assicurarsi che la password predefinita sia cambiata. La maggior parte dei dispositivi di rete, inclusi i punti di accesso wireless, sono preconfigurati con password di amministratore predefinite per semplificare l'installazione. Queste password predefinite sono facilmente reperibili online, quindi non forniscono alcuna protezione. La modifica delle password predefinite rende più difficile per gli aggressori assumere il controllo del dispositivo.
- Inoltre, assicurati di crittografare la tua rete wireless con la crittografia WPA. WEP (Wired Equivalent Privacy) e WPA (Wi-Fi Protected Access) crittografano entrambe le informazioni sui dispositivi wireless. Tuttavia, il WEP ha una serie di problemi di sicurezza che lo rendono meno efficace del WPA, quindi dovresti cercare in particolare gli attrezzi che supportano la crittografia tramite WPA. La crittografia dei dati impedirebbe a chiunque potrebbe essere in grado di monitorare il traffico wireless della rete dalla visualizzazione dei dati.
5. Insider / Minaccia dei dipendenti insoddisfatta
Un dipendente insoddisfatto o un insider può essere più pericoloso del più sofisticato hacker su Internet. A seconda delle politiche di sicurezza della tua azienda e della gestione delle password, gli addetti ai lavori possono avere accesso diretto ai tuoi dati critici e, di conseguenza, possono facilmente rubarli e venderli al tuo concorrente, o addirittura eliminarli tutti, causando danni irreparabili. Esistono misure e misure che è possibile adottare per impedire a un membro interno oa un dipendente insoddisfatto di accedere alle informazioni chiave e danneggiare le reti di computer.
Argomento di studio:
Un ex dipendente di un'azienda che gestisce le operazioni di volo per le principali case automobilistiche, ha cancellato le informazioni sull'occupazione critica due settimane dopo che si era dimesso dalla sua posizione. L'incidente ha provocato danni per circa $ 34.000. Secondo i rapporti, il dipendente era sconvolto dal fatto di essere stato rilasciato dalla società prima di quanto avesse previsto. Presumibilmente, il firewall dell'azienda è stato compromesso e l'autore ha fatto irruzione nel database dei dipendenti e ha cancellato tutti i record. Le dichiarazioni della società indicano che l'ex dipendente scontento era una delle sole tre persone che conoscevano il log-in e le informazioni sulla password per il firewall che proteggeva la base di dati dei dipendenti.
Consigli:
Esistono diversi modi in cui la tua azienda può proteggersi da minacce interne o di minacce insoddisfatte dei dipendenti:
- Dividere le funzioni e le responsabilità critiche tra i dipendenti all'interno dell'organizzazione, limitando la possibilità che un individuo possa commettere sabotaggio o frode senza l'aiuto di altri dipendenti all'interno dell'organizzazione.
- Implementa criteri rigorosi di password e autenticazione. Assicurati che ogni dipendente utilizzi password contenenti lettere e numeri e non usi nomi o parole.
- Inoltre, assicurati di cambiare le password ogni 90 giorni e, soprattutto, di eliminare l'account di un dipendente o di modificare le password in sistemi critici, dopo che un dipendente lascia la tua azienda. Ciò rende più difficile per i dipendenti insoddisfatti danneggiare i sistemi dopo che se ne sono andati.
- Eseguire due diligence PRIMA di assumere qualcuno. Fai controlli di background, controlli educativi, ecc. Per assicurarti di assumere delle brave persone.
Circa l'autore: Come direttore esecutivo della National Cyber Security Alliance (NCSA), Ron Teixeira è responsabile della gestione generale dei programmi di sensibilizzazione sulla sicurezza informatica e degli sforzi educativi nazionali. Teixeira lavora a stretto contatto con varie agenzie governative, aziende e organizzazioni no-profit per aumentare la consapevolezza dei problemi di sicurezza di Internet e per responsabilizzare gli utenti domestici, le piccole imprese e la comunità educativa con strumenti e best practice progettati per garantire un'esperienza Internet sicura e significativa.
9 commenti ▼
