Door Ron Teixeira
In de afgelopen twee jaar zijn er een aantal spraakmakende inbreuken op gegevens waarbij grote bedrijven betrokken zijn. Hoewel dit de indruk kan wekken dat alleen grote bedrijven het doelwit zijn van hackers en dieven, is de realiteit dat hackers zich steeds meer richten op kleine bedrijven, omdat ze meestal niet beschikken over de middelen of knowhow die grote bedrijven wel hebben.
Dat betekent echter niet dat kleine bedrijven een grote som geld en middelen moeten uitgeven om zichzelf te beschermen tegen de nieuwste bedreigingen. Volgens een recent Dreigingsrapport van Symantec had 82% van de gegevens die verloren of gestolen waren, kunnen worden voorkomen als het bedrijf een eenvoudig cyberveiligheidsplan volgde.
Om te beginnen met de ontwikkeling van een cyberveiligheidsplan, moet u de internetbedreigingen begrijpen en hoe het beschermen van uw bedrijf tegen deze bedreigingen rechtstreeks van invloed is op uw bedrijfsresultaten. Als gevolg hiervan ontwikkelde de National Cyber Security Alliance, waarvan de partners het Department of Homeland Security, het Federal Bureau of Investigations, Small Business Administration, het National Institute for Standards and Technology, Symantec, Microsoft, CA, McAfee, AOL en RSA, top 5 bedreigingen die uw kleine onderneming op internet kan tegenkomen, zakelijke gevallen van hoe deze bedreigingen u kunnen kwetsen en praktische maatregelen die u kunt nemen om deze bedreigingen te voorkomen.
Hier is een samenvatting van de top vijf van bedreigingen:
- # 1: schadelijke code. Een softwarebom in het noordoosten van het productiebedrijf vernietigde alle bedrijfsprogramma's en codegeneratoren. Vervolgens verloor het bedrijf miljoenen dollars, verloor het zijn positie in de industrie en moest uiteindelijk 80 werknemers ontslaan. Installeer en gebruik antivirusprogramma's, anti-spywareprogramma's en firewalls op alle computers in uw bedrijf om te zorgen dat dit niet bij u gebeurt. Zorg er bovendien voor dat alle computersoftware up-to-date is en de meest recente patches bevat (d.w.z. besturingssysteem, antivirus-, antispyware-, anti-adware-, firewall- en kantoorautomatiseringssoftware).
- # 2: Gestolen / verloren laptop of mobiel apparaat. Vorig jaar werd de laptop van een Department of Veterans Affairs uit zijn huis gestolen. De laptop bevatte de medische geschiedenis van 26,5 miljoen veteranen. Uiteindelijk is de laptop hersteld en zijn de gegevens niet gebruikt; de VA moest echter 26,5 miljoen veteranen op de hoogte brengen van het incident, resulterend in hoorzittingen in het Congres en openbare controle. Om ervoor te zorgen dat dit u niet overkomt, beschermt u de gegevens van uw klanten wanneer u deze ergens op een draagbaar apparaat vervoert door alle gegevens die zich daarin bevinden te coderen. Versleutelingsprogramma's coderen gegevens of maken het onleesbaar voor buitenstaanders, totdat u een wachtwoord of coderingssleutel invoert.
- # 3: Spear Phishing. Een middelgrote fietsfabrikant was sterk afhankelijk van e-mail om zaken te doen. In de normale loop van een werkdag ontving het bedrijf maar liefst 50.000 spam- en phishing-e-mails. In één geval ontving een medewerker een "spear phishing" -mail die eruitzag alsof deze afkomstig was van de IT-afdeling en vroeg de medewerker om het "beheerderswachtwoord" te bevestigen. Gelukkig voor het bedrijf, toen de medewerker de lijnmanager om de vraag vroeg " beheerderswachtwoord "hij onderzocht verder en besefte dat de e-mail een oplichterij was. Om ervoor te zorgen dat u dit niet overkomt, instrueert u alle werknemers contact op te nemen met hun manager of neemt u gewoon de telefoon op en neemt u rechtstreeks contact op met de persoon die de e-mail heeft verzonden. Het is belangrijk om uw werknemers bewust te maken van wat een speer-phishingaanval is en op hun hoede te zijn voor iets in hun in-box dat verdacht lijkt.
- # 4: onbeveiligde draadloze internetnetwerken. Volgens nieuwsverslagen hebben hackers via een draadloos netwerk de "grootste datalink ooit" uitgeroeid. Een wereldwijde winkelketen had meer dan 47 miljoen klanten financiële informatie gestolen door hackers die een draadloos netwerk doorbraken dat was beveiligd met de laagste vorm van codering die beschikbaar was voor het bedrijf. Momenteel heeft deze inbreuk op de beveiliging het bedrijf $ 17 miljoen gekost, en in het bijzonder $ 12 miljoen in één kwartaal alleen, of drie cent per aandeel. Om er zeker van te zijn dat u dit niet overkomt, moet u, nadat u een draadloos netwerk hebt opgezet, controleren of het standaardwachtwoord is gewijzigd en zorg ervoor dat u uw draadloze netwerk met WPA (Wi-Fi Protected Access) codeert.
- # 5: Bedreiging door insider / ontevreden werknemer. Een voormalig medewerker van een bedrijf dat vluchtoperaties voor grote automobielbedrijven afhandelde, verwijderde kritieke werkgelegenheidsinformatie twee weken nadat hij ontslag nam uit zijn functie. Het incident veroorzaakte ongeveer $ 34.000 aan schade. Om ervoor te zorgen dat dit niet met u gebeurt, verdeelt u kritieke functies en verantwoordelijkheden van werknemers binnen de organisatie, waardoor de mogelijkheid wordt beperkt dat een persoon sabotage of fraude kan plegen zonder de hulp van andere werknemers binnen de organisatie.
Lees hieronder voor meer informatie en gedetailleerd advies over hoe u uw computersystemen kunt beschermen -
1. Schadelijke code (spyware / virussen / Trojaans paard / wormen)
Volgens een FBI Computer Crime Study uit 2006, omvatten kwaadwillende softwareprogramma's het grootste aantal gemelde cyberaanvallen, wat resulteerde in een gemiddeld verlies van $ 69.125 per incident. Schadelijke software zijn geheime computerprogramma's op de computer van uw bedrijf en kan interne schade aan een computernetwerk veroorzaken, zoals het verwijderen van kritieke bestanden, of kan worden gebruikt om wachtwoorden te stelen of beveiligingssoftware te ontgrendelen, zodat een hacker klant- of werknemersinformatie kan stelen. Meestal worden dit soort programma's door criminelen gebruikt voor financieel gewin door middel van afpersing of diefstal.
Case Study:
Een productiebedrijf uit het noordoosten veroverde contracten ter waarde van enkele miljoenen dollars om meet- en instrumentatieapparatuur te maken voor NASA en de Amerikaanse marine. Op een ochtend merkten werknemers echter dat ze zich niet bij het besturingssysteem konden aanmelden, maar kregen ze een melding dat het systeem "in reparatie" was. Kort daarna crashte de server van het bedrijf en elimineerde alle gereedschappen en productieprogramma's van de fabriek. Toen de manager tapes ging maken, merkte hij dat ze weg waren en dat de individuele werkstations ook waren weggevaagd. De CFO van het bedrijf getuigde dat de softwarebom alle programma's en codegeneratoren had vernietigd waardoor het bedrijf zijn producten kon aanpassen en dus de kosten kon verlagen. Het bedrijf verloor vervolgens miljoenen dollars, verloor zijn positie in de industrie en moest uiteindelijk 80 werknemers ontslaan. Het bedrijf kan troost putten uit het feit dat de schuldige uiteindelijk werd gearresteerd en veroordeeld.
Advies:
- Installeer en gebruik antivirusprogramma's, antispywareprogramma's en firewalls op alle computers in uw bedrijf.
- Zorg ervoor dat uw computers worden beschermd door een firewall; firewalls kunnen afzonderlijke apparaten zijn, ingebouwd in draadloze systemen of een softwarefirewall die wordt geleverd met veel commerciële beveiligingssuites.
- Zorg er bovendien voor dat alle computersoftware up-to-date is en de meest recente patches bevat (d.w.z. besturingssysteem, antivirus-, antispyware-, anti-adware-, firewall- en kantoorautomatiseringssoftware).
2. Gestolen / verloren laptop of mobiel apparaat
Geloof het of niet, gestolen of verloren laptops zijn een van de meest voorkomende manieren waarop bedrijven kritieke gegevens verliezen. Volgens een FBI Crime Study van 2006 (PDF), resulteerde een gestolen of verloren laptop meestal in een gemiddeld verlies van $ 30.570.Een incident met een hoog profiel of een incident waarbij een bedrijf wordt verplicht contact te leggen met al zijn klanten, omdat hun financiële of persoonlijke gegevens mogelijk verloren of gestolen zijn, kan leiden tot veel hogere verliezen door verlies van consumentenvertrouwen, beschadigde reputatie en zelfs wettelijke aansprakelijkheid.
Case Study:
Vorig jaar nam de medewerker van een Department of Veterans Affair een laptop mee naar huis met de medische geschiedenis van 26,5 miljoen veteranen. Terwijl de medewerker niet thuis was, brak een indringer in en stal de laptop met de gegevens van de veteranen. Uiteindelijk is de laptop hersteld en zijn de gegevens niet gebruikt; de VA moest echter 26,5 miljoen veteranen op de hoogte brengen van het incident, resulterend in hoorzittingen in het Congres en openbare controle. Dit fenomeen is niet beperkt tot de overheid, in 2006 waren er een aantal spraakmakende bedrijfscasussen met verloren of gestolen laptops die resulteerden in datalekken. Een laptop met 250.000 Ameriprise-klanten werd gestolen uit een auto. Providential Health Care Hospital System had een laptop gestolen, die duizenden medische dossiers van patiënten bevatte.
Advies:
- Bescherm de gegevens van uw klanten wanneer u deze overal op een draagbaar apparaat vervoert door alle gegevens die zich daarin bevinden te versleutelen. Versleutelingsprogramma's coderen gegevens of maken het onleesbaar voor buitenstaanders, totdat u een wachtwoord of coderingssleutel invoert. Als een laptop met gevoelige gegevens wordt gestolen of zoek raakt, maar de gegevens zijn gecodeerd, is het hoogst onwaarschijnlijk dat iemand de gegevens kan lezen. Encryptie is uw laatste verdedigingslinie als gegevens worden verloren of gestolen. Sommige coderingsprogramma's zijn ingebouwd in populaire financiële en databasesoftware. Raadpleeg de gebruikershandleiding van uw software om na te gaan of deze functie beschikbaar is en hoe u deze inschakelt. In sommige gevallen hebt u wellicht een extra programma nodig om uw gevoelige gegevens correct te coderen.
3. Speer Phishing
Spear phishing beschrijft elke zeer gerichte phishing-aanval. Spear phishers verzenden e-mail die echt lijkt voor alle werknemers of leden binnen een bepaald bedrijf, overheidsinstantie, organisatie of groep. Het bericht kan eruitzien alsof het afkomstig is van een werkgever of van een collega die een e-mail kan sturen naar iedereen in het bedrijf, zoals het hoofd van de afdeling Personeelszaken of de persoon die de computersystemen beheert, en kan verzoeken voor gebruikersnamen of wachtwoorden.
De waarheid is dat de informatie over de afzender van de e-mail vervalst of 'vervalst' is. Waar traditionele phishing-aanvallen zijn bedoeld om informatie van individuen te stelen, spear phishing-oplichting om toegang te krijgen tot het volledige computersysteem van een bedrijf.
Als een medewerker antwoordt met een gebruikersnaam of wachtwoord, of als u op koppelingen klikt of bijlagen opent in een spear phishing-e-mail, pop-upvenster of website, kan dit uw bedrijf of organisatie in gevaar brengen.
Case Study:
Een middelgrote fietsfabrikant die fietsen produceerde die werden gebruikt in bekende races, leunde zwaar op e-mail om zaken te doen. In de normale loop van een werkdag ontving het bedrijf maar liefst 50.000 spam- en phishing-e-mails. Als gevolg hiervan heeft het bedrijf een groot aantal spamfilters geïnstalleerd in een poging werknemers te beschermen tegen frauduleuze e-mails. Veel frauduleuze e-mails gaan echter nog steeds door naar werknemers. In één geval ontving een medewerker een "spear phishing" -mail die eruitzag alsof deze afkomstig was van de IT-afdeling en vroeg de medewerker om het "beheerderswachtwoord" te bevestigen. Gelukkig voor het bedrijf, toen de medewerker de lijnmanager om de vraag vroeg " beheerderswachtwoord "hij onderzocht verder en besefte dat de e-mail een oplichterij was. Hoewel dit voorbeeld niet resulteerde in een financieel verlies, zou het gemakkelijk een probleem kunnen zijn voor alle bedrijven.
Advies:
- Medewerkers mogen nooit reageren op spam of pop-upberichten die beweren afkomstig te zijn van een bedrijf of organisatie waarmee u te maken kunt krijgen, bijvoorbeeld een internetprovider (ISP), een bank, online betaaldienst of zelfs een overheidsinstantie. Legitieme bedrijven vragen niet om gevoelige informatie via e-mail of een link.
- Als een medewerker een e-mail ontvangt die lijkt op die van een andere werknemer, en bovendien vraagt om een wachtwoord of elk type accountinformatie, moeten deze niet reageren, of gevoelige informatie via e-mail verstrekken. Laat de medewerker in plaats daarvan contact opnemen met zijn manager of neem gewoon de telefoon op en neem rechtstreeks contact op met de persoon die de e-mail heeft verzonden.
- Het is belangrijk om uw werknemers bewust te maken van wat een speer-phishingaanval is en op hun hoede te zijn voor iets in hun in-box dat verdacht lijkt. De beste manier om te voorkomen dat je slachtoffer wordt van een spear phishing-aanval is iedereen laten weten dat het gebeurt, voordat iemand persoonlijke informatie verliest.
4. Niet-beveiligde draadloze internetnetwerken
Consumenten en bedrijven zijn snel bezig met het adopteren en implementeren van draadloze internetnetwerken. Volgens een InfoTech-studie zal de penetratie van draadloze internetnetwerken in 2008 80% bedragen. Terwijl draadloze internetnetwerken bedrijven de mogelijkheid bieden om hun netwerken te stroomlijnen en een netwerk met zeer weinig infrastructuur of kabels uit te bouwen, zijn er veiligheidsrisico's waaraan bedrijven zich moeten houden. gebruik van draadloze internetnetwerken. Hackers en fraudeurs kunnen toegang krijgen tot de computers van bedrijven via een open draadloos internetnetwerk en kunnen daardoor mogelijk klantinformatie en zelfs eigendomsinformatie stelen. Helaas nemen veel bedrijven niet de nodige maatregelen om hun draadloze netwerken te beveiligen. Volgens een studie van het Symantec / Small Business Technology Institute 2005, heeft 60% van de kleine bedrijven open draadloze netwerken. Bovendien gebruiken veel andere kleine bedrijven mogelijk onvoldoende draadloze beveiliging om hun systemen te beveiligen. Het niet goed beveiligen van een draadloos netwerk is als het 's nachts openhouden van de deur van een bedrijf.
Case Study:
Volgens nieuwsverslagen hebben hackers via een draadloos netwerk de "grootste datalink ooit" uitgeroeid. Een wereldwijde winkelketen had meer dan 47 miljoen klanten financiële informatie gestolen door hackers die een draadloos netwerk doorbraken dat was beveiligd met de laagste vorm van codering die beschikbaar was voor het bedrijf. In 2005 zouden twee hackers buiten een winkel geparkeerd staan en een telescoop draadloze antenne gebruiken om gegevens te decoderen tussen hand-held betaalscanners, waardoor ze in kunnen breken in de database van het moederbedrijf en kunnen vertrekken met credit- en debetkaartrecords van bijna 47 miljoen klanten. Er wordt aangenomen dat de hackers al meer dan twee jaar toegang hebben tot de creditcarddatabase zonder te worden gedetecteerd. In plaats van de meest recente coderingssoftware te gebruiken om zijn draadloze netwerk te beveiligen - Wi-Fi Protected Access (WPA), gebruikte de winkelketen een oude vorm van codering, genaamd Wireless Equivalent Privacy (WEP), die volgens sommige experts gemakkelijk kan zijn gehackt in slechts 60 seconden. Momenteel heeft deze inbreuk op de beveiliging het bedrijf $ 17 miljoen gekost, en in het bijzonder $ 12 miljoen in één kwartaal alleen, of drie cent per aandeel.
Advies:
- Zorg er bij het opzetten van een draadloos netwerk voor dat het standaardwachtwoord wordt gewijzigd. De meeste netwerkapparaten, inclusief draadloze toegangspunten, zijn vooraf geconfigureerd met standaard beheerderswachtwoorden om de installatie te vereenvoudigen. Deze standaardwachtwoorden zijn eenvoudig online te vinden, zodat ze geen bescherming bieden. Het wijzigen van standaardwachtwoorden maakt het moeilijker voor aanvallers om de controle over het apparaat te nemen.
- Zorg er bovendien voor dat u uw draadloze netwerk codeert met WPA-codering. WEP (Wired Equivalent Privacy) en WPA (Wi-Fi Protected Access) coderen beide informatie op draadloze apparaten. WEP heeft echter een aantal beveiligingsproblemen die het minder effectief maken dan WPA, dus u moet specifiek op zoek naar apparatuur die codering ondersteunt via WPA. Versleuteling van de gegevens zou voorkomen dat iemand die in staat zou zijn om te controleren of het draadloze netwerk van uw netwerk uw gegevens kan bekijken.
5. Bedreiging door insider / ontevreden werknemer
Een ontevreden werknemer of insider kan gevaarlijker zijn dan de meest geavanceerde hacker op internet. Afhankelijk van het beveiligingsbeleid van uw bedrijf en wachtwoordbeheer, hebben insiders mogelijk directe toegang tot uw kritieke gegevens en kunnen ze deze gemakkelijk stelen en verkopen aan uw concurrent, of zelfs alles verwijderen en onherstelbare schade aanrichten. Er zijn stappen en maatregelen die u kunt treffen om te voorkomen dat een insider of een ontevreden werknemer toegang krijgt tot belangrijke informatie en uw computernetwerken beschadigt.
Case Study:
Een voormalig medewerker van een bedrijf dat vluchtoperaties voor grote automobielbedrijven afhandelde, verwijderde kritieke werkgelegenheidsinformatie twee weken nadat hij ontslag nam uit zijn functie. Het incident veroorzaakte ongeveer $ 34.000 aan schade. Volgens rapporten was de werknemer boos dat hij eerder door het bedrijf werd vrijgelaten dan hij had verwacht. Naar verluidt is de firewall van het bedrijf aangetast en heeft de dader ingebroken in de database van medewerkers en alle records verwijderd. Uit verklaringen van het bedrijf blijkt dat de ontevreden ex-werknemer een van de slechts drie mensen was die de inlog- en wachtwoordinformatie kende voor de firewall die de werknemersdatabase beschermde.
Advies:
Er zijn een aantal manieren waarop uw bedrijf zichzelf kan beschermen tegen insider of ontevreden werknemersbedreigingen:
- Verdeel kritieke functies en verantwoordelijkheden tussen medewerkers binnen de organisatie, beperkend de mogelijkheid dat één persoon sabotage of fraude zou kunnen plegen zonder de hulp van andere werknemers binnen de organisatie.
- Voer strikt wachtwoord- en verificatiebeleid in. Zorg ervoor dat elke werknemer wachtwoorden gebruikt die letters en cijfers bevatten en geen namen of woorden gebruiken.
- Zorg er bovendien voor dat u elke 90 dagen wachtwoorden wijzigt, en als belangrijkste, verwijder een werknemersaccount of wijzig de wachtwoorden in kritieke systemen, nadat een werknemer uw bedrijf verlaat. Dit maakt het moeilijker voor ontevreden werknemers om uw systemen te beschadigen nadat ze zijn vertrokken.
- Voer due diligence uit VOORDAT u iemand inhuurt. Doe achtergrondcontroles, educatieve cheques, enz. Om ervoor te zorgen dat je goede mensen aanneemt.
Over de auteur: Als uitvoerend directeur van de National Cyber Security Alliance (NCSA) is Ron Teixeira verantwoordelijk voor het algehele beheer van bewustmakingsprogramma's voor cyberveiligheid en nationale educatieve inspanningen. Teixeira werkt nauw samen met verschillende overheidsinstanties, bedrijven en non-profitorganisaties om het bewustzijn van internetbeveiligingsproblemen te vergroten en om thuisgebruikers, kleine bedrijven en de onderwijsgemeenschap meer mogelijkheden te geven met tools en best practices die zijn ontworpen om een veilige en zinvolle internetervaring te garanderen.
9 Opmerkingen ▼
