A kisvállalkozások vonzó célpontok a kiberbűnözők számára, mivel általában hiányoznak belőlük a nagyobb szervezetek kiberbiztonsági óvintézkedései.
A kibertámadás egy számítógépes rendszer vagy hálózat elleni szándékos támadás, amely rosszindulatú kódot használ nemkívánatos módosítások végrehajtására vagy adatok ellopására.
Az összes kibertámadás 43 százaléka kisvállalkozásokat céloz, és ezeknek a jogsértéseknek a következményei rendkívül költségesek lehetnek, a termelékenység elvesztésétől a vállalat hírnevéig. Valójában az adatvédelmi incidens áldozatává vált kisvállalkozások 60%-a a támadást követő hat hónapon belül végleg bezárja kapuit.
Mit okozott a pandémia?
Egy 2021-es IBM riport 2021 kimutatta, hogy a COVID-19 világjárvány miatti távmunka megnövelte az adatszivárgás átlagos összköltségét. Ebben az időszakban ugyanis a vállalatok hirtelen távoli asztali protokollt használtak a távoli hozzáféréshez. A többtényezős hitelesítés (ld. később) gyakran nem volt bekapcsolva. Ez a kiberfenyegetések számának növekedéséhez vezetett, mivel ez könnyű belépési pontnak bizonyult.
A kisvállalkozások sok esetben nem veszik komolyan a kiberbiztonságot. Sok vállalkozás „túl kicsinek” érzi magát ahhoz, hogy egy kiberincidens érintse őket. Ez egy tipikus pszichológiai, ún. kognitív torzítás (amiről egy korábbi bejegyzésünkben már szó esett). Az indokolatlan optimizmus miatt azonban sokan csak akkor veszik észre a jogsértés súlyosságát, amíg már túl késő: amikor az incidens már megtörtént. A kisvállalkozások tulajdonosai számos okból nem látják szükségesnek időt vagy pénzt fektetni egy kiberbiztonsági tervbe, többek között:
- Nem gondolják, hogy adatvédelmi incidens áldozatai lennének
- A kiberbiztonsági programok költségvetése minimális
- A rendszerek elavultak és nem megfelelően támogatottak
- Az elavult eszközökhöz szükséges speciális szoftverek már nem támogatottak
A COVID-19-járvány miatti leállások során sok kisvállalkozásnak is át kellett állnia a távmunkára, ami számos kiberbiztonsági problémának tette ki ezeket a vállalkozásokat. Nyilvánvalóan ezt a dolgot táplálta a felhőre való támaszkodás, illetve a kevés informatikai (támogató) személyzet, illetve erőforrás. A kisebb szervezetek például sokszor védtelenek a ransomware támadásokkal szemben is, mivel nincs biztonsági mentési rendszerük az adatok helyreállításához, ha megtámadják őket.
Emberi hiba a háttérben
Az IBM-jelentés azt is megállapította, hogy az emberi hiba a kisvállalkozások adatszivárgásának fő oka. Mivel a kisvállalkozások nem a kiberbiztonsági képzésre helyezik a hangsúlyt, az alkalmazottak könnyen rávehetők az ún. social engineering csalásokra, rosszindulatú fenyegetésekre, vagy bejelentkezési adatok, érzékeny adatok és egyéb vállalati és ügyfélinformációk megosztására, mivel nem tudják, mire is kell figyelniük.
A kibertámadások megelőzése
A kiberbűnözés növekedésével és minden évről előrehaladottabbá válásával minden eddiginél fontosabb, hogy a kisvállalkozások megértsék, hogyan befolyásolhatják az ilyen típusú támadások a működésüket. Hiszen ennek a megértésnek a birtokában lesznek képesek megtenni a megfelelő lépéseket saját maguk védelmére. Az adatvédelmi incidens korai észlelése természetesen kritikus fontosságú a vállalat hírnevének megmentése szempontjából – nem is beszélve a potenciálisan sok milliós károkról.
A kisvállalkozások kiberbiztonságának bevált gyakorlatai
Tekintsünk most át néhány megoldást, melyek jelentősen növelik egy (kis)vállalkozás kibertámadásokkal szembeni védelmét!
- Munkavállalók képzése: Az alkalmazottak kiberbiztonsági képzése nem lehet egyszeri alkalom. A vállalkozásoknak folyamatos képzésben kell gondolkodniuk, hogy valamennyi alkalmazottjukat felvilágosítsák és naprakésszé tegyék a potenciális biztonsági résekről, a csalások felismeréséről és elkerüléséről, erős jelszavak létrehozásáról, valamint a bizalmas ügyfél- és vállalati adatok védelméről.
- A biztonsági szoftver frissítése: A vállalatoknak tűzfalakat, víruskereső szoftvereket és kémprogram-elhárító eszközöket kell használniuk annak biztosítására, hogy a hackerek ne férhessenek hozzá könnyen az érzékeny adatokhoz. Ezek a biztonsági programok rendszeres frissítéseket is igényelnek, hogy mentesek legyenek a sebezhetőségektől.
- Adatvédelem: Mivel sok adatszivárgás az alkalmazottak hibájából (ld. emberi hiba) következik be, indokolt, hogy a munkavállalók csak az adott szerepkörükhöz tartozó létfontosságú információkhoz tudjanak hozzáférni. A vállalatoknak fontolóra kell venniük olyan eljárásokat, amelyek megkövetelik az alkalmazottaktól, hogy megfelelően töröljék vagy archiválják a fájlokat. Fontos az is, hogy rendszeresen készüljön biztonsági másolat az összes számítógépen lévő adatokról, és a szervezet rendelkezzen helyreállítási rendszerrel. A hálózat szegmentálása egy másik módja annak, hogy elkerüljük az adatmegosztást a teljes hálózaton. Így, amennyiben a hálózat egy szakasza sérül, a szegmentáció miatt nem kerül minden veszélybe.
- Jelszóvédelmi program: A kisvállalkozásoknak és alkalmazottaiknak erős jelszavakat kell használniuk minden naponta felkeresett webhelyen. A jelszavakat soha nem szabad megosztani az alkalmazottak között, és nem szabad olyan helyen leírni/ tárolni, ahol mások láthatják.
- Adattitkosítás: A személyes eszközökön, számítógépeken vagy szervereken keresztüli összes adatot megfelelő titkosítással kell védeni arra az esetre, ha jogosulatlan hozzáférési kísérletek történnének. Az adatok ilyen formán a megtekintéstől védettek, kivéve, ha a felhasználó rendelkezik a megfelelő hitelesítő adatokkal és kóddal.
- Többtényezős hitelesítés: A többtényezős hitelesítéshez további ellenőrzési információkra van szükség, például a telefonra küldött biztonsági kódra a hálózatokba, rendszerekbe és számítógépekbe való bejelentkezéshez. Ilyen megoldással találkozhatunk például akkor is, amikor a böngészőnkből be szeretnénk lépni a netbankunkba.