10月は、国土安全保障省によって全国サイバーセキュリティ意識月間と指定されました。そして、あなたのビジネスはサイバーセキュリティについて心配するには小さすぎると思うかもしれませんが、あなたは間違っています。
私は最近、フェニックス大学の主任サイバーセキュリティ学部であり、Trace3の主任セキュリティコンサルタントであるStephanie Benoit-Kurtzに、中小企業の経営者がサイバー攻撃から自社を最もよく保護する方法について話しました。
多くの中小企業の経営者や新興企業は、サイバー犯罪者がわざわざハッキングするには小さすぎると考えています。私はそれが間違っていることを知っています。中小企業はどのような危険に直面していますか?
Stephanie Benoit-Kurtz: 中小企業はいくつかの理由でターゲットです。悪意のある人物は、インシデントに対応または防止するための大規模なITチームまたはシステムがない可能性があることを認識しています。 FBIによると、サイバー犯罪は2020年に27億ドル以上の費用を企業にもたらしました。791,000件を超える苦情があり、悪意のある人物は努力を現金化できるところに向かっています。
中小企業が注意すべきサイバーセキュリティリスクは何ですか?
Benoit-Kurtz: 大小の組織が攻撃されるにつれて、SMB攻撃の頻度が高まり、大規模な組織とのギャップが埋められています。 Verizonによると、 DBIRレポート 、小規模な組織の侵害は年々頻繁に増加しています。システムへの侵入は、依然としてインシデントの主要な原因の1つです。これは、悪意のある人物がデータやシステムにアクセスするときです。
中小企業にとって最も一般的なサイバー脅威は何ですか?仮想/リモートビジネスを運営している場合、これらは異なりますか?
Benoit-Kurtz: 電子メールやソーシャルエンジニアリングの詐欺は、すべてのビジネスに大混乱をもたらし続けています。 PWCはいくつかの金融機関でフィッシングシミュレーションを実行し、メールの70%が7%のエンドユーザークリック率で配信されました。ワンクリックで組織を悪意のある人物にさらすことができます。膨大な数のペイロードがまだ電子メールを介して届きます。 CISAには、フィッシングやソーシャルエンジニアリングの被害者にならないようにするための優れたヒントがいくつかあります。
これらの問題は、仮想ビジネスまたはリモートビジネスとオンサイトビジネスの間で大きな違いはありません。組織は、インシデントを減らすために定期的なフィッシングおよびソーシャルエンジニアリングのトレーニングを提供する必要があります。何人かの専門家は、フィッシングやソーシャルエンジニアリングの状況を特定するために従業員を訓練する組織によってリスクの推定70%を減らすことができると共有しています。この問題は、COVID-19パンデミックの間に指数関数的に増加しただけです。 2020フィッシングおよび不正レポート 、F5は、パンデミック時にフィッシング攻撃が220%増加したと報告しています。
最善の防御策は良い攻撃であり、中小企業は従業員のフィッシングとソーシャルエンジニアリングのトレーニングに投資する必要があります。このサービスは比較的安価であり、中小企業に追加の保護レイヤーを提供できます。
推奨するパスワードポリシーはありますか?
Benoit-Kurtz: 他の主要な脅威は、資格情報の盗難です。ログインとパスワードは、安全でない接続を介して、または侵害された以前の組織で使用されたために公開されます。すべてのソーシャルメディア、個人の電子メール、およびその他のログインとパスワードがどこかの違反で開示されたと想定します。仕事用アカウントでは、ログインやパスワードを再利用しないでください。
多くの場合、組織が侵害されると、ログインとパスワードがダークウェブで販売され、ハッカーがリストを購入して、スピアフィッシングタイプのアプローチで被害者を探します。 2番目の推奨事項は、パスワードをもう少し複雑にすることです。たとえば、子供やペットの名前ではなく、特殊文字や数字を含むパスフレーズを使用してください。時々、従業員はパスワード疲労に苦しんでいます。パスワードボールトがより良い解決策かもしれません。これにより、一意のパスワードが作成され、従業員がアカウントの管理に役立つツールが提供されます。 PCマガジン 「2021年のベストパスワードマネージャー」に関するすばらしい記事を公開しました。ここでは、さまざまなソリューションのメリットを分析しています。
Benoit-Kurtz: 従業員が喫茶店、空港、ホテルの部屋などで働く場合、どのようにしてデータを安全に保ちますか?
コーヒーショップ、ホテル、レストラン、空港での無料ネットワークは安全ではありません。これらの便利で接続しやすいサービスは管理されておらず、無防備なユーザーを捕食するハッカーを攻撃します。ホテルの部屋番号やある種のパスコードを入力する必要がある場合でも、個人データや会社のデータが危険にさらされる可能性のある保護されていないネットワークである可能性があります。安全なネットワークアクセスを可能にする携帯電話またはホットスポットのデータプランを従業員に提供することを検討してください。これは、コンピューターを携帯電話またはその他のLTEデバイスへの安全なネットワーク接続にテザリングする場所です。このタイプの接続は、コラボレーションが必要なチームでも機能します。 ComputerWorld、 記事「スマートフォンをモバイルホットスポットとして使用する方法」では、この簡単な方法で中小企業のセキュリティ体制を改善する方法について詳しく説明しています。
VPNとは何ですか。また、中小企業はVPNをどのように設定しますか?
Benoit-Kurtz: 遠隔通勤中またはリモートでの作業中にパブリックアクセスインターネットを使用する必要がある場合、仮想プライベートネットワーク(VPN)は、セキュリティの追加レイヤーを作成するための優れたソリューションです。 VPNは、キャンディーのラッパーと考えてください。ラッパーはキャンディーやその他の汚染物質を防ぎます。 VPNソフトウェアは、インターネットへの接続を暗号化して保護し、ハッカーが通信を傍受するのをはるかに困難にします。さらに、ソフトウェア/サービスは比較的安価であり、中小企業は独自のVPNを構築する必要はありません。代わりに、莫大なコストをかけずにセキュリティを提供する製品を市場で調達できます。
従業員にこれらのガイドラインに従わせるにはどうすればよいですか?
Benoit-Kurtz: 堅実なセキュリティプログラムの一部には、意識向上トレーニング、ツール、および使用に関する指標が含まれます。中小企業は警戒する必要があります。構成管理を実装して、従業員のマシンにエンドポイント保護を強制することができます。リモートでランダムネットワークへの接続を許可しない場合は、VPNクライアントを使用する必要があります。また、コンプライアンスを維持するためのギフトカードや会社の盗品で従業員に報酬を与えるなど、楽しくすることもできます。努力しているユーザーを認識します。
違反の費用はいくらですか?
Benoit-Kurtz: 簡単に言えば、侵害は高額です。中小企業として、あなたの顧客の評判と信頼は危険にさらされる可能性があります。 Small Business Trendsは、中小企業の侵害の平均コストは25,000ドルと見積もっています。そしてIBMは、毎年恒例のデータ侵害レポートのコスト 、 過去2年間で、これらのコストは10%以上増加したと言います。ただし、そのコストには、顧客の信頼の喪失と、それに伴う顧客が競争に参加する際のビジネスの喪失は含まれていません。
中小企業をサイバーセーフにするのは費用がかかりますか?
Benoit-Kurtz: いいえ、強力なサイバーセキュリティ保護を備えていることは高価である必要はありません。ベッドの上の毛布のように考えてください。サイバーセキュリティは、ユーザーを保護するさまざまなテクノロジーとプロセスのレイヤーを提供します。トレーニング、VPNソフトウェア、エンドポイント保護、およびホットスポットはすべて、リスクを大幅に軽減し、大規模なITスタッフなしで実装できます。中小企業として、予算内で機能するソリューションと拡張を支援するセキュリティパートナーを探してください。
中小企業のセキュリティの旅を支援するための優れたリソースがたくさんあります。 SBAは多数の優れた資料を公開しており、企業のセキュリティの旅を支援することを専門とするセキュリティ組織があります。開始するのに最適な方法は、セキュリティパートナーを招待して、セキュリティリスク評価を提供し、開始を支援することです。優れたセキュリティパートナーは、弱点を見つけるのに役立つだけでなく、脅威の状況が変化するにつれてセキュリティプログラムを成長させるのに役立ちます。セキュリティパートナーがいない場合は、宿題をして、いくつかの組織にインタビューして、適切なものを見つけてください。
もちろん、あなたのスコアメンターはあなたが正しい選択をするのを助けることができます。今日見つけてください。