中小企業のデータを保護するための3つの秘訣

公開: 2019-09-11

あなたが私たちのリンクを通して何かを買うならば、私たちは私たちのアフィリエイトパートナーからお金を稼ぐかもしれません。 もっと詳しく知る。

ドイツのITサービスプロバイダーであるCitycompでの最近のデータ侵害により、Citycompのすべてのクライアントに関する財務情報や個人情報など、大量のデータがオンラインで公開されています。 データ侵害に対する防御を強化する方法を知る必要があります。

データ漏えいには、Oracle、Airbus、Porscheなどの主要企業を対象としたクライアントリストが含まれていました。 それ以上に—7万のサービスとストレージシステムが現在公開されています。

サイバー犯罪者は、CitycompのようなITサービスプロバイダーへの侵入が究極の勝利であると信じています

犯罪者は、単一のビジネスの防御を破ることで、サービスプロバイダーのクライアントのビジネスネットワークの数十、さらには数百の鍵を手に入れます。 ただし、アマチュアハッカーは、中小企業のように簡単な標的を追求する可能性がはるかに高くなります。

サイバー犯罪を実施するためのコストは低下し続けています

サービスとしてのマルウェアの台頭により、アマチュアハッカーはより熟練したサイバー犯罪者の仲間入りをすることができます。 当然のことながら、調査によると、現在、中小企業が商業的なサイバー攻撃の犠牲者の大部分を占めています。

中小企業の70%近くがサイバー攻撃を経験していると報告していますが、28%だけが防御策が「非常に効果的」であると述べています。

次の3つの手順を実行すると、データ侵害に対する独自の防御が強化されます。

1.パスワードを定期的に変更する

同じユーザー名とパスワードを何年も使用している場合、それらの資格情報がどこかにあることはほぼ確実です。 これらのパスワードは、ダークウェブ上でペニーのみ、またはご存知のとおり、無料で利用できます。

パスワードを定期的に変更するのは面倒かもしれませんが、それは重要なセキュリティ慣行です。 ハッカーがダークウェブで古いログイン情報を購入し、それを使用して組織のネットワークに侵入するのを防ぐのに役立ちます。

従業員が数か月ごとにパスワードを変更する必要があるシステムを導入することは、安価な(通常は無料の)セキュリティの向上です。

しかし、反乱を避けてコンプライアンスの可能性を高めたい場合は、事前にチームに説明してください。 従業員が危機に瀕していることを知っているとき、彼らはそうでなければ迷惑のように感じるかもしれないものに買い込む可能性が高くなります。

私は1年前に会社で働いていたので、3週間ごとにパスワードを25ビットの新しいパスワードに変更し、6か月間パスワードの一部を繰り返すことはできませんでした。

システムはまだハッキングされており、パスワードをリセットするために何百万ものクライアントに連絡する必要がありました(これを行うために何百人もの私たちが24時間体制で働いています)。 この会社はパスワードマネージャーを許可していませんでした。 あなたの従業員がそれを気に入らなければ—あまりにも悪い—それはあなたの会社です—そしてそれを保護するのはあなたの義務です。

従業員のプッシュバックが心配な場合は、パスワードマネージャーに投資して、できるだけ簡単にすることを検討してください。

ある調査によると、従業員は平均して191個のパスワードを調整する必要があります。 パスワードマネージャーは一般的に安価であり、それらが提供する利便性により、あらゆる規模の企業にとって価値のある投資になります。

2.2要素認証を実装する

ハッカーがログイン資格情報を取得できた場合、2要素認証は別のゲートキーパーです。 2FAとも呼ばれる二要素認証では、パスワード以外の追加のID検証が必要です。 この2番目のレイヤーは、コードまたはPIN番号にすることができます。 これらのリクエストは通常​​、SMS経由で送信されます。

この2番目のコードは、ユーザーのみがアクセスできるキーフォブなどのハードウェアトークンに設定することもできます。

100%安全なソリューションはありません。 特に機密データを扱う一部の企業は、多要素認証に依存しています。これには、2要素認証以外の追加のユーザー検証が必要です。 最新の検証方法には、顔認識だけでなく、虹彩や指紋のスキャンも含まれます。

セキュリティのニーズと予算に応じて、実装できる2要素認証の形式から始めることをお勧めします。 SMSテキスト検証は最も単純で安全性が最も低いものですが、従業員はおそらくすでにそれをよく知っているでしょう。これは、従来の資格情報からのセキュリティのステップアップです。

3.トレーニングを真剣に受け止める

2要素認証、Webアプリケーションファイアウォール、積極的なパスワード管理ポリシーなど、どのようなセキュリティ対策を実装する場合でも、努力する価値はあります。 ヒューマンエラーが依然として最大の脆弱性であることに注意してください。

従業員は、組織のサイバーセキュリティチェーンの中で最も弱いリンクです。

そのため、サイバー犯罪者は最初に人々を詐欺し、次にネットワークをハッキングしようとします。 ベライゾンの2017年のデータ侵害調査レポートによると、サイバーセキュリティインシデントの90%がフィッシングの要素に関係していました。

フィッシングの試みは、送信者が数回の誤ったクリックを利用することができた大量のスパムメールに集中していました。 現在、サイバー犯罪者は、基本的なソーシャルエンジニアリングを使用して従来のフィッシング攻撃を強化しています。 スピアフィッシングと呼ばれる攻撃は、オンラインで入手可能な情報を使用して、より正当なアクセスを試みます。

ハッカーはCEOを装って、会計士に財務要求を送信する可能性があります。 彼らは幹部のふりをして、パスワードを覚えるのを手伝ってくれるようアシスタントに頼むかもしれません。 従業員がこれらの攻撃を発見するための訓練を受けていない場合、詐欺を示す詳細を見逃してしまいます。

トレーニングプログラムを実施し、偽のフィッシングメールを定期的に使用して従業員をテストします。

ターゲットが電子メールに関与した場合、フォローアップを実施して、従業員がどこで問題が発生したか、次回はどのように改善するかを理解できるようにすることができます。 中小企業の経営者が、大企業よりも盗むデータがはるかに少ないという理由だけで、彼らが標的ではないと考えるのは間違いです。

残念ながら、サイバーセキュリティの防衛予算が限られているため、起業家、新興企業、中小企業を利用しやすくなっています。

ハッカーは、一部の中小企業の所有者が最も基本的な予防策さえ講じていないことをよく知っています。 いくつかの重要な改善でさえ、データ侵害の壊滅的な結果を回避するのに役立ちます。

許可を得て再発行。 ここでオリジナル

画像:Due.com

詳細:パブリッシャーチャネルコンテンツ