3 เคล็ดลับในการปกป้องข้อมูลธุรกิจขนาดเล็กของคุณ

เผยแพร่แล้ว: 2019-09-11

หากคุณซื้อบางอย่างผ่านลิงก์ของเรา เราอาจได้รับเงินจากพันธมิตรพันธมิตรของเรา เรียนรู้เพิ่มเติม.

การละเมิดข้อมูลเมื่อเร็วๆ นี้ที่ Citycomp ผู้ให้บริการไอทีในเยอรมนี ส่งผลให้มีการเผยแพร่ข้อมูลจำนวนมากทางออนไลน์ ซึ่งรวมถึงข้อมูลทางการเงินและข้อมูลส่วนตัวของลูกค้าทุกคนของ Citycomp คุณจำเป็นต้องรู้วิธีเสริมการป้องกันของคุณจากการละเมิดข้อมูล

การละเมิดข้อมูลรวมถึงรายชื่อลูกค้าที่ครอบคลุมบริษัทใหญ่ๆ เช่น Oracle, Airbus และ Porsche มากกว่านั้น — เจ็ดหมื่นบริการและระบบจัดเก็บข้อมูลพร้อมใช้งานแบบสาธารณะแล้ว

อาชญากรไซเบอร์เชื่อว่าการฝ่าฝืนผู้ให้บริการด้านไอทีอย่าง Citycomp ถือเป็นชัยชนะที่ดีที่สุด

ด้วยการทำลายการป้องกันของธุรกิจเดียว อาชญากรจะได้รับกุญแจสำหรับเครือข่ายธุรกิจของลูกค้าของผู้ให้บริการหลายสิบหรือหลายร้อยราย อย่างไรก็ตาม แฮกเกอร์มือสมัครเล่นมีแนวโน้มที่จะไล่ตามเป้าหมายที่ง่ายกว่า เช่น ธุรกิจขนาดเล็กของคุณ

ต้นทุน ต่ออาชญากรไซเบอร์ที่ก่อ อาชญากรรมทางอินเทอร์เน็ตลดลงอย่างต่อเนื่อง

การเพิ่มขึ้นของมัลแวร์ในฐานะบริการทำให้แฮ็กเกอร์มือสมัครเล่นสามารถเข้าร่วมกลุ่มอาชญากรไซเบอร์ที่ช่ำชองมากขึ้น ไม่น่าแปลกใจที่การวิจัยแสดงให้เห็นว่าธุรกิจขนาดเล็กในปัจจุบันเป็นเหยื่อการโจมตีทางไซเบอร์ในเชิงพาณิชย์ส่วนใหญ่

ในขณะที่เกือบ 70% ของธุรกิจขนาดเล็กรายงานว่าพวกเขาประสบกับการโจมตีทางไซเบอร์ และเพียง 28% บอกว่ามาตรการป้องกันของพวกเขา “มีประสิทธิภาพสูง”

การทำสามขั้นตอนเหล่านี้จะช่วยเสริมการป้องกันของคุณเองจากการละเมิดข้อมูล:

1. เปลี่ยนรหัสผ่านเป็นประจำ

หากคุณใช้ชื่อผู้ใช้และรหัสผ่านเดียวกันมาหลายปี แทบจะรับประกันได้ว่าข้อมูลประจำตัวเหล่านั้นจะอยู่ที่ไหนสักแห่ง รหัสผ่านเหล่านี้มีอยู่ใน Dark Web ในราคาเพียงเพนนี — หรือ คุณรู้ — ฟรี

การเปลี่ยนรหัสผ่านเป็นประจำอาจเป็นเรื่องยุ่งยาก แต่ก็เป็นแนวทางปฏิบัติด้านความปลอดภัยที่สำคัญ ช่วยป้องกันไม่ให้แฮ็กเกอร์ซื้อข้อมูลการเข้าสู่ระบบเก่าบน Dark Web และใช้เพื่อเจาะเข้าไปในเครือข่ายขององค์กรของคุณ

การวางระบบที่กำหนดให้พนักงานเปลี่ยนรหัสผ่านทุกสองสามเดือนนั้นมีค่าใช้จ่ายที่ไม่แพง — ปกติฟรี — การปรับปรุงการรักษาความปลอดภัย

แต่ถ้าคุณต้องการหลีกเลี่ยงการกบฏและเพิ่มโอกาสในการปฏิบัติตาม โปรดอธิบายให้ทีมของคุณทราบล่วงหน้า เมื่อพนักงานรู้ว่ามีความเสี่ยง พวกเขามักจะซื้อสิ่งที่อาจรู้สึกว่าเป็นเรื่องน่ารำคาญ

ฉันทำงานให้กับบริษัทหนึ่งปีที่ผ่านมาซึ่งทำให้เราเปลี่ยนรหัสผ่านทุก ๆ สามสัปดาห์เป็นรหัสผ่านใหม่ 25 บิต และไม่มีส่วนใดของรหัสผ่านที่ทำซ้ำได้ในช่วงหกเดือน

ระบบยังคงถูกแฮ็กอยู่ และเราต้องติดต่อลูกค้าหลายล้านรายเพื่อรีเซ็ตรหัสผ่าน ( พวก เราหลายร้อยคนทำงานตลอด 24 ชั่วโมงเพื่อให้สิ่งนี้สำเร็จ) บริษัทนี้ไม่อนุญาตให้มีผู้จัดการรหัสผ่าน หากพนักงานของคุณไม่ชอบ — แย่จัง — มันคือบริษัทของคุณ — และเป็นหน้าที่ของคุณที่จะต้องปกป้องมัน

พิจารณาลงทุนในตัวจัดการรหัสผ่านเพื่อทำให้สิ่งต่างๆ ง่ายขึ้น หากคุณกังวลเกี่ยวกับการตอบกลับของพนักงาน

จากการศึกษาหนึ่งพบว่า พนักงานต้องเล่นปาหี่โดยเฉลี่ยหนึ่งร้อยเก้าสิบเอ็ดรหัสผ่าน ผู้จัดการรหัสผ่านโดยทั่วไปมีราคาไม่แพง และความสะดวกที่พวกเขาเสนอทำให้เป็นการลงทุนที่คุ้มค่าสำหรับบริษัททุกขนาด

2. ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย

หากแฮ็กเกอร์สามารถจัดการข้อมูลรับรองการเข้าสู่ระบบได้ การตรวจสอบสิทธิ์แบบสองปัจจัยคือผู้รักษาประตูรายอื่น การรับรองความถูกต้องด้วยสองปัจจัยหรือที่เรียกว่า 2FA ต้องใช้รูปแบบการตรวจสอบตัวตนเพิ่มเติมนอกเหนือจากรหัสผ่าน ชั้นที่สองนี้อาจเป็นรหัสหรือหมายเลข PIN คำขอเหล่านี้มักจะส่งผ่าน SMS

คุณยังสามารถตั้งค่ารหัสที่สองนี้สำหรับโทเค็นของฮาร์ดแวร์ เช่น คีย์ fob ที่เฉพาะผู้ใช้เท่านั้นที่สามารถเข้าถึงได้

ไม่มีวิธีแก้ปัญหาที่ปลอดภัย 100% บางบริษัทที่มีข้อมูลที่ละเอียดอ่อนเป็นพิเศษยังอาศัยการตรวจสอบสิทธิ์แบบหลายปัจจัย ซึ่งต้องมีการตรวจสอบผู้ใช้เพิ่มเติมนอกเหนือจากการตรวจสอบสิทธิ์แบบสองปัจจัย วิธีการตรวจสอบล่าสุดบางวิธีรวมถึงการสแกนม่านตาหรือลายนิ้วมือ รวมถึงการจดจำใบหน้า

ขึ้นอยู่กับความต้องการด้านความปลอดภัยและงบประมาณของคุณ ขอแนะนำให้คุณเริ่มต้นด้วยการรับรองความถูกต้องด้วยสองปัจจัยรูปแบบใดก็ตามที่คุณสามารถนำไปใช้ได้ แม้ว่าการยืนยันด้วยข้อความ SMS จะง่ายที่สุดและปลอดภัยน้อยที่สุด แต่พนักงานของคุณก็น่าจะคุ้นเคยอยู่แล้ว และเป็นการยกระดับความปลอดภัยจากข้อมูลประจำตัวแบบเดิม

3. ฝึกฝนอย่างจริงจัง

ไม่ว่าคุณจะใช้มาตรการรักษาความปลอดภัยแบบใด — การรับรองความถูกต้องด้วยสองปัจจัย, ไฟร์วอลล์ของเว็บแอปพลิเคชัน, นโยบายการจัดการรหัสผ่านที่เข้มงวด และอื่นๆ ก็คุ้มค่ากับความพยายาม โปรดทราบว่าความผิดพลาดของมนุษย์ยังคงเป็นจุดอ่อนที่ยิ่งใหญ่ที่สุดของคุณ

พนักงานของคุณเป็นจุดอ่อนที่สุดในห่วงโซ่การรักษาความปลอดภัยทางไซเบอร์ขององค์กรของคุณ

นั่นเป็นเหตุผลที่อาชญากรไซเบอร์พยายามหลอกลวงผู้คนก่อนแล้วจึงแฮ็คเครือข่าย รายงานการตรวจสอบการละเมิดข้อมูลประจำปี 2560 ของ Verizon ระบุว่า 90% ของเหตุการณ์ความปลอดภัยทางไซเบอร์เกี่ยวข้องกับองค์ประกอบของฟิชชิ่ง

ฟิชชิ่งพยายามเน้นที่อีเมลสแปมจำนวนมาก ซึ่งผู้ส่งสามารถใช้ประโยชน์จากการคลิกที่ผิดพลาดเพียงไม่กี่ครั้ง ตอนนี้อาชญากรไซเบอร์กำลังปรับปรุงการโจมตีแบบฟิชชิ่งแบบดั้งเดิมด้วยวิศวกรรมสังคมขั้นพื้นฐาน การโจมตีที่เรียกว่า spear-phishing จะใช้ข้อมูลที่ได้รับทางออนไลน์เพื่อพยายามเข้าถึงข้อมูลที่ถูกต้องตามกฎหมายมากขึ้น

แฮ็กเกอร์อาจสวมบทบาทเป็น CEO และส่งคำขอด้านการเงินไปยังนักบัญชี พวกเขาอาจแกล้งเป็นผู้บริหารและขอความช่วยเหลือจากผู้ช่วยในการจำรหัสผ่าน หากพนักงานของคุณไม่ได้รับการฝึกฝนให้ตรวจจับการโจมตีเหล่านี้ พวกเขาจะพลาดรายละเอียดนาทีที่บ่งบอกถึงการหลอกลวง

ใช้โปรแกรมการฝึกอบรมและทดสอบพนักงานโดยใช้อีเมลฟิชชิ่งปลอมเป็นประจำ

เมื่อเป้าหมายมีส่วนร่วมกับอีเมล คุณสามารถดำเนินการติดตามเพื่อช่วยให้พนักงานเข้าใจว่าพวกเขาผิดพลาดตรงไหนและจะปรับปรุงอย่างไรในครั้งต่อไป เป็นความผิดพลาดสำหรับเจ้าของธุรกิจขนาดเล็กที่จะถือว่าพวกเขาไม่ใช่เป้าหมายเพียงเพราะพวกเขามีข้อมูลที่จะขโมยน้อยกว่าบริษัทใหญ่ๆ

น่าเสียดายที่งบประมาณในการป้องกันความปลอดภัยทางไซเบอร์ที่จำกัดทำให้พวกเขาใช้ประโยชน์จากผู้ประกอบการ สตาร์ทอัพ และธุรกิจขนาดเล็กได้ง่ายขึ้น

แฮกเกอร์ทราบดีว่าเจ้าของธุรกิจขนาดเล็กบางรายไม่ปฏิบัติตามมาตรการป้องกันขั้นพื้นฐาน แม้แต่การปรับปรุงที่สำคัญบางประการจะช่วยให้คุณหลีกเลี่ยงผลร้ายแรงจากการละเมิดข้อมูลได้

เผยแพร่ซ้ำโดยได้รับอนุญาต ต้นฉบับที่นี่

ภาพ: Due.com

เพิ่มเติมใน: เนื้อหาช่องของผู้จัดพิมพ์