Riscul de securitate IT pentru IMM și Microîntreprinderi
La prima vedere, cineva s-ar putea întreba: ce legătura are riscul de securitate IT cu organizațiile mici? Ele nu pot fi afectate întrucât nu prezintă interes pentru un atacator.
În lumea în care trăim e greu de crezut că poți crește fără o infrastructură IT adecvată.
Mediul pandemic în care trăim face ca tehnologia să schimbe abordarea față de piață, față de client și schimbă avantajele competitive existente anterior pandemiei, în unele cazuri; totodată crează foarte multe beneficii pentru organizațiile mici care pot fi mult mai agile. Acest lucru aduce cu sine și riscuri inerente legate de riscurile de securitate IT, chiar și de continuitate.
Companiile mari sunt mai robuste, au investiții importante în infrastructură capitalizate în ani de zile și au cadre de reglementare sau standarde impuse de companii mamă care le fac mai sigure din multe puncte de vedere. Acest lucru implică și costuri ridicate pe care le compensează în general prin economie de scală.
Pentru un antreprenor mic sau mediu local acest risc se poate să nu fie foarte important și de multe ori să fie văzut mai degrabă ca un cost adițional. Este însă un risc care poate deveni foarte important când vine vorba de probleme de continuitate ale afacerii, responsabilitatea față de client și o bază solidă de creștere pe termen lung. În acest context, owner-ul companiei este cel care dictează pasul și orice owner ar trebui să fie preocupat ca viitoarea creștere a companiei sale să aibă încă de la început câteva reguli minime de securitate IT.
Autoritatea competentă din SUA arată că 45% din companiile mici și medii sunt victime ale unui atac informatic și 59% din companii nu au un plan în cazul în care au au probleme de continuitate operațională sau data breach.
Conform studiilor majoritatea covârșitoare a atacurilor informatice nu vizează o companie ci mai degraba vulnerabilități ale calculatoarelor conectate la internet. Atacatorii nu caută să fure datele unei companii anume, ci caută calculatoare ușor de infectat, cu probleme peexistente indiferent dacă acestea sunt ale unei companii mari sau a uneia mici sau medii.
Companiile mici sunt mai expuse întrucât nu au personalul specializat și investițiile făcute de o companie mare, dar pot avea date ale clienților, drepturi de proprietate intelectuală, carduri ale companiei (95% din atacurile privind cardurile care au succes sunt în cazul companiilor mici și medii, conform Visa). Atacurile care pot duce la blocarea afacerii online au devenit mai ieftine în 2020. Și nu e nevoie de specializare. Poți “comanda” atacuri începând de la 7$ pe dark web, față de minim 25$ in 2015.
Ce e de făcut dacă ești antreprenor și ai o afacere mică sau medie, cu o dependență importantă de infastructura IT sau pentru care canalele online devin din ce în ce mai importante iar creșterea pe termen lung se bazează pe tehnologie?
Iar tu nu ești un specialist și nici nu ai timp să devii unul?
În primul rând, informează-te si privește riscul de securitate IT ca o analiză de cost beneficiu pentru afacerea ta, nu doar pe termen scurt dar și pe termen lung. E ca și cum ai face o analiză pentru deschiderea unui nou punct de lucru.
Cum să faci asta ? Ai încredere în autorități și dedică un pic din timpul tău pentru a evalua ce ai de pierdut, ce riscuri ai și cât ar trebui să investești ca să ai un nivel de protecție rezonabil.
Foarte multe autorități au dezvoltat ghiduri despre cum să faci asta, inclusiv autoritățile române, în multe cazuri preluând recomandări făcute de autoritățile similare din alte tări. Astfel, site-ul https://cert.ro/ te poate ajuta foarte mult în acest sens. Foarte utile sunt și ghidurile date de alte autoritățile din domeniu special gândite pentru companiile mici și medii, ușor de citit și simplu de înțeles raportat la ce ai de protejat:
- https://staysafeonline.org/cybersecure-business/ ,
- https://us-cert.cisa.gov/sites/default/files/c3vp/smb/DHS-SMB-Road-Map.pdf,
- https://www.sba.gov/business-guide/manage-your-business/stay-safe-cybersecurity-threats,
- https://www.cyber.gov.au/acsc/view-all-content/publications/small-business-cyber-security-guide
Au fost dezvoltate inclusiv Ghiduri cu recomandări privind modul de lucru în contextul actual, rezonabile și ușor de înțeles. Iată câteva resurse oferite de cert.ro:
- https://cert.ro/citeste/recomandari-companii-lucru-la-distanta,
- https://cert.ro/vezi/document/ghid-alerta-covid-19-recomandari
- Cert.ro publică periodic ghiduri care te pot ajuta să îți protejezi afacerea https://cert.ro/doc/ghid și angajații.
Îți poți face propria analiză de risc folosind ghidurile de mai sus și câteva tool-uri recomandate aici https://staysafeonline.org/stay-safe-online/free-online-security-checkups-tools/ printre ele sunt recomandate și tool-urile gratis ale unui producător român cu ștate vechi în domeniu - Bitdefender https://www.bitdefender.com/toolbox/ și care are produse care se pliază mai degrabă pe acesta nișa de piață.
În contextul pandemiei dependența de acces la internet a accentuat riscurile IT astfel dacă lucrezi de acasă sau online ai riscuri specifice, cum să te protejezi găsești câteva ghiduri specifice aici https://cert.ro/vezi/document/recomandari-conferinta-zoom, protejarea împotriva virușilor informatici https://cert.ro/vezi/document/ghid-virusi-troieni-viermi
Preluăm în cele ce urmează din ghidul realizat de autorități împreună cu Bitdefender
Companiile, fie ele mari, mici sau mijlocii trebuie să știe că aceste pericole pot fi evitate sau controlate dacă țin seama de câteva reguli simple, dar esențiale, de securitate:
- Evaluarea datelor pe care le dețineți. Este important să știți exact și din timp ce anume puteți pierde în cazul unei breșe de securitate. Ce fel de informații dețineți, dacă sunt sau nu confidențiale, cât sunt de importante pentru companie, clienți sau angajați și care sunt riscurile de a pierde controlul acestor date. Odată ce știți ce protejați, veți ști și cum să protejați.
- Nu vă limitați la o singură măsură sau produs de protejare a datelor. Este important să folosiți diferite metode de securitate. În caz că unul nu dă rezultate sau se dovedește a fi vulnerabil, rămân celelalte.
- Limitarea accesului fizic în spațiul de muncă în cazul tuturor persoanelor neautorizate. Cineva poate sustrage din clădire un server, un laptop sau un harddisk cu date importante. Informațiile secrete pot fi stocate în diferite locații și protejate printr-un sistem de acces care să limiteze la minim numărul persoanelor autorizate în spațiile dedicate.
- Configurarea arhitecturii rețelei trebuie făcută în așa fel încât să se poată interveni rapid pentru a se izola o infecție, să spunem, la nivelul unei singure subrețele, prevenind astfel răspândirea infecției în toată rețeaua departamentului sau a companiei. Acest lucru minimizează impactul pe care l-ar putea avea un atac care a reușit să penetreze prima linie defensivă. Un firewall bine configurat poate face minuni. Asigurați-vă că cine vă configurează firewall-ul știe ce face.
- Punctele de access (Hot spots) neautorizate trebuie interzise cu desăvârșire în cadrul rețelei companiei, iar un dispozitiv care se conectează la WI-FI-ul autorizat de companie trebuie să permită doar autentificarea bazată pe datele de conectare din domeniu sau cu certificate digitale.
- Accessul trebuie restricționat în cazul persoanelor care intră în contact cu resursele companiei cu un username și o parolă proprii care să fie schimbate cu regularitate și să aibă un grad ridicat de dificultate. În clipa în care un angajat sau un colaborator și-a încheiat activitatea în companie, datele de autentificare ale acestuia trebuie imediat anulate.
- Un antivirus competitiv bazat pe tehnologii anti-spam, anti-phishing și antimalware care să ruleze la gateway este vital împotriva atacurilor de tip phishing sau exploit .
- Cursuri de securitate ținute cu regularitate angajaților. Fiecare trebuie să știe să recunoască un mesaj de tip phishing, să știe cum să trateze atașamentele care vin în e-mail-uri, să le scaneze și, foarte important, să raporteze departamentului de IT orice incident sau situație care li s-a părut suspectă. Folosirea de parole diferite pentru conturi diferite. Evitarea conectării la conturi personale folosind resursele companiei. Evitarea publicării pe conturile personale din diferite rețele de socializare a informațiilor ce privesc compania angajatoare. Uneori din greșeală, un angajat poate furniza date care ajută un atacator să pătrundă în rețeaua unei companii.
Folosirea platformelor bancare
Pentru protejarea banilor tăi când folosești aplicații bancare, autoritățile au dezvoltat inclusiv ghiduri pentru a te proteja https://cert.ro/vezi/document/ecsm2020-digital-skills-infografic și te alertează periodic când apar noi tentative de atacuri și care sunt semnalele pentru a recunoaște un astfel de atac.
Articol realizat de Alexandru Bumbac – Director Audit Patria Bank
Citește și: