7 biztonsági tipp, amelyek megakadályozzák, hogy vállalkozását adatlopás érje

Egy újabb nap, egy újabb hacker viszi el milliók ügyféladatait az Enormo Banktól a legutóbbi hatalmas vállalati kibertámadás során. A kis- és középvállalkozások (KKV-k) magukban mosolyognak, és hálát adnak az égnek, hogy nem elég nagyok ahhoz, hogy a hackereket érdekeljék. Ha ön is így gondolja, szeretnénk elsőként elmondani: ez tévedés. Nagy tévedés.

A valóság az, hogy az amerikai Kongresszusi Kisvállalkozási Bizottság szerint az online biztonsági incidensek 71%-a 100 főnél kevesebb alkalmazottat foglalkoztató cégeket érint. Hogy micsoda? Jól olvasta, tehát ha a „mi túl kicsik vagyunk, hogy a rosszfiúk minket válasszanak” mentalitás uralkodik a vállalkozásában, most lehet, hogy ideje letenni az energiaitalt, kihúzni magát, és odafigyelni erre a 7 weboldal-biztonsági tippre, amely megmentheti vállalkozását egy adatlopástól.

Örülni fog, hogy megtette.

#1 A tűzfal nem csak jó ötlet

Ha nem telepített tűzfalakat a hálózatába, akár most is bejelentkezhetne a sötét webre, és közzétehetné minden jelszavát a hackereknek. A valóságban a tűzfalat kell elsődleges védelmi vonalnak tekinteni az ügyféladatok védelmében. Gyors ismétlésként: a tűzfal egy – hardveres vagy szoftveres – biztonsági rendszer, amely figyeli az adatáramlást a belső hálózat és az internet között, és előre meghatározott biztonsági szabályok alapján kiszűri a gyanús tevékenységeket.

Három területre kell koncentrálni a tűzfalak telepítésekor.

Külső tűzfal: Ez a típus általában router vagy szerver részeként található meg. A cég hálózatán kívül helyezkedik el, és már azelőtt megakadályozza a különféle malware támadásokat, hogy azok elérnék a rendszert. Ha nem biztos benne, hogy rendelkezik-e ilyennel, hívja fel a tárhelyszolgáltatóját, és kérdezzen rá.

Belső tűzfal: Ez a tűzfal szoftver formájában települ a hálózatra. Hasonló szerepet tölt be, mint a külső tűzfal – vírusokat, malware-eket és más kiberfenyegetéseket szűr –, de emellett lehetővé kell tenni a hálózat szegmentálását is, hogy a vírusokat, hackeléseket gyorsan karanténba lehessen helyezni, és a terjedésüket a teljes rendszer megfertőzése előtt meg lehessen állítani.

A harmadik terület, amire figyelni kell, az otthonról dolgozó alkalmazottak hálózati hozzáférése. Az összesített biztonság csak annyira erős, mint a leggyengébb láncszem. Megéri a nyugalomért fizetni, és ilyen esetekben következő generációs tűzfalvédelmet alkalmazni.

A tűzfalak szorosan összefüggnek a weboldal/hálózat tárhelybeállításaival. Az a néhány plusz költség havonta megéri, hogy elhagyja a megosztott tárhely korszakát, és áttérjen valami robusztusabbra, például dedikált vagy virtuális privát szerverre, ahol nagyobb kontrollja lehet a biztonsági beállítások felett.

#2 Biztosítsa az okoseszközöket

Egy 2016-os Tech Pro felmérés szerint a vállalkozások 59%-a alkalmazza a „Hozd a saját eszközöd” (BYOD) szabályzatot. Ez rengeteg potenciálisan védtelen útvonalat jelent a vállalati hálózatba, amelyek szabadon mozognak a folyosókon és irodákban. Nyilvánvalóan nem jó stratégia csak reménykedni abban, hogy a rosszfiúk nem veszik észre ezt a hatalmas biztonsági rést – de mit tegyen akkor? Ma már teljesen kizárt, hogy megtiltsa a dolgozóknak az okostelefonok, tabletek, fitneszkarkötők vagy okosórák munkahelyi használatát – ez egy teljes munkavállalói felmondási hullámhoz vezetne.

Íme, mit tehet.

Dolgozzon ki egy olyan biztonsági szabályzatot, amely kifejezetten a személyes eszközökre vonatkozik. Tudassa az alkalmazottakkal, hogy a BYOD rendben van, de be kell – ismétlés: KÖTELEZŐEN – tartaniuk a hálózat biztonságát garantáló szabályokat. Két konkrét lépést érdemes bevezetni:

1. Kötelezze minden személyes eszköz automatikus biztonsági frissítését.
2. Kötelezze minden személyes eszközt, hogy megfeleljen a vállalati jelszópolitikának. Ugye van jelszópolitikája? Nagyon fontos. Hamarosan elmondjuk, miért.

Ha úgy érzi, Grincs lett a sok szabály miatt, tegye fel magának a kérdést: inkább bosszantana néhány dolgozót szigorú kiberbiztonsági előírásokkal, vagy inkább hagyná, hogy legértékesebb üzleti vagyona, az ügyféladatok, csak úgy kisétáljanak az ajtón? Ugye, hogy inkább az előbbit választaná.

#3 Egy biztonsági kézikönyv mind felett

Ahogy említettük, a mai KKV-k számára gyakran az adatok jelentik a legértékesebb üzleti vagyont. Egyetlen alkalmazott, aki hanyag a jelszavakkal, vagy félvállról veszi az adathalász e-mailek vizuális kiszűrését, szó szerint tönkreteheti a vállalkozást. Egy jó tanács: az ügyfelek meglehetősen megbocsáthatatlanok tudnak lenni, és nem szívesen térnek vissza olyan céghez, amelyről úgy gondolják, hogy nem bánik felelősen a személyes adataikkal. Ha a cége professzionális szolgáltatásokat igényel, érdemes lehet egy biztonsági szoftverfejlesztőt választani.

Most, minden eddiginél komolyabban kell venni a vezetőségnek és minden alkalmazottnak az online biztonsági képzéseket – a legrégebbi munkatárstól a legújabbig. Szükség van egy nyomtatott szabályzatra, amely világosan rögzíti a követendő protokollokat és a be nem tartás következményeit, akár elbocsátásig bezárólag. Mint látható, a kiberbűnözők okosak, folyamatosan tesztelik a védelmet, és új módszereket találnak ki a behatolásra – technológiával, trükkel, vagy mindkettővel.

A KKV-vezetők és tulajdonosok felelőssége, hogy a kézikönyvet rendszeresen frissítsék a hackertámadások elleni szabványos gyakorlatoknak megfelelően, valamint elegendő időt fordítsanak az új alkalmazottak megfelelő oktatására. Ha azt szeretné, hogy komolyan vegyék ezt az erőfeszítést – és így is kell –, ÖNNEK is komolyan kell vennie. Legalább minden olyan alkalmazottnak, aki bármilyen okból hozzáfér a vállalati hálózathoz, alaposan ismernie kell a biztonsági szabályokat. Ennek a biztonságnak nagy része a jelszavak védelmében rejlik, amely önálló kategóriát érdemel.

#4 Ha mást nem is tesz, legyen erős jelszópolitikája

Néhány statisztika szemlélteti, miért van problémája a KKV-knak a kiberbiztonsággal kapcsolatban.

• Egy 2016-os Verizon jelentés szerint az adatlopások 63%-át gyenge, elveszett vagy ellopott jelszavak okozták. Ez komoly gond.
• A Ponemon Institute szerint azoknak a cégeknek a 65%-a, akik rendelkeznek jelszópolitikával, nem tartatják be azt. Ez még nagyobb gond.

Hol is kezdjük? Igen, az alkalmazottak panaszkodni fognak, ha bonyolultabb jelszavakat kell létrehozniuk, mint a „1234”, és rendszeresen cserélniük kell, de – hogy ne ismételjük magunkat – jobban aggódik néhány munkatárs bosszankodása miatt, mint amiatt, hogy ellenséges erők átvehetik a hálózat felett az irányítást? Ha igen, javasoljuk: adja el a vállalkozását azonnal.

A jelszóbiztonságnak önálló fejezetet kell szentelni a szabályzatban, és a legjobb gyakorlatokat kell követni. Ez azt jelenti, hogy elő kell írni:

1. A jelszavakat 60-90 naponta kötelező cserélni
2. A jelszavak legalább 8 karakter hosszúak legyenek, de minél hosszabb, annál jobb
3. A jelszavak tartalmazzanak nagy- és kisbetűket, számokat, valamint speciális karaktereket

A korábban említett számra visszatérve: ha már időt szánt egy erős jelszópolitika kialakítására, ne legyen a 65%-ban, akik nem tartatják be. Az butaság lenne.

Jelszókezelők: Nem hagyhatjuk ki a jelszókezelőket. Ezek telepíthető szoftverként, felhőszolgáltatásként vagy akár fizikai eszközként is elérhetők, és segítenek összetett jelszavakat létrehozni, tárolni és visszakeresni. Pontosan azt csinálják, amit a nevük ígér: kezelik a jelszavait – és valljuk be, erre legtöbbünknek szüksége van.

Olvasson többet erről a fontos (és olcsó) online biztonsági óvintézkedésről a Consumer Reports cikkében!

#5 Biztonsági mentések? Most fontosabb, mint valaha

Tegyük fel, hogy eddig minden javaslatunkat precízen, pontosan és teljesen megvalósította. Most végre nyugodtan fellélegezhet, hiszen a céges hálózat feltörhetetlen. Miért ne dőlne hátra, hogy lábait az asztalra tegye? Hát ezért: a legjobb szándék ellenére is van esély rá, hogy egy hacker mégis bejut, és felfordulást okoz. Ahogy mondtuk, ezek a bűnözők okosak, és mindent elkövetnek a „bajkeverésért”. Ha bejutnak, sokféle kárt okozhatnak: rögzíthetik a beírt jelszavakat, a vállalati erőforrásokat botnet támadások indítására használhatják, vagy akár törölhetik az egész szervert.

Ilyenkor fogja kívánni, hogy vissza tudná állítani a rendszert egy korábbi pontra, mielőtt a hacker bejutott. Ugye már rendszeresen ment mindent a felhőbe, és tárol egy példányt fizikailag távoli helyen is – hiszen tűzesetek és árvizek is előfordulhatnak? Ha még nem teszi, gondolja át komolyan, hogy minden fontos dokumentumot, adatbázist, pénzügyi, HR és ügyviteli állományt rendszeresen biztonsági mentéssel véd.

A felhőalapú mentési szolgáltatások ma már egyre megfizethetőbbek, így nincs mentség arra, hogy ne alkalmazzon átfogó mentési stratégiát, amely lehetővé teszi a rendszer gyors helyreállítását egy hálózati betörés után. Hacsak nem szeretné minden fájlját emlékezetből újraalkotni…

#6 Az antimalware nem opcionális

Oké, az antimalware telepítése elvileg opcionális. De a nem mellett dönteni nagyon rossz ötlet. Az antimalware megvéd az adathalász támadásoktól, amelyek a hackerek egyik kedvenc trükkjeivé váltak – és nem véletlenül: működnek. A bizonyítékért ismét a 2016-os Verizon jelentéshez fordulunk. Eszerint a megkérdezett dolgozók 30%-a nyitott meg adathalász e-mailt – ez 7%-os növekedés egy év alatt!

Áttekintésként: az adathalászat egy olyan módszer, amely során a hacker e-mailt küld, hogy rávegye az alkalmazottat egy benne lévő linkre kattintásra. Ha ráharap, az elindítja a malware telepítését a hálózaton, és a hacker bejut. Ez baj. Az első védelmi vonal az, ha megtanítjuk a dolgozókat, hogy soha ne kattintsanak e-mailes linkre, hacsak nem teljesen biztosak a feladó hitelességében.

Mivel a dolgozók 30%-a lényegében meghívja a hackert a hálózatba, az antimalware a legjobb esélye arra, hogy megállítsa és leállítsa a kártékony szoftver telepítését, mielőtt az befejeződne. Különösen figyeljen azokra a pozíciókra, amelyeket a hackerek szeretnek célba venni: vezérigazgatók, adminisztrátorok, értékesítők, HR. Ezek gyakran hozzáférhetnek a hálózat „puha hasához”.

De ne gondolja, hogy mindenki más immunis. Bármely dolgozó, aki hozzáfér bármely hálózati részhez, potenciális célpont.

#7 Többlépcsős azonosítás – gyorsan válik alapelvvé

Az utóbbi években a többlépcsős azonosítás (MFA) fényes pontként jelent meg azok számára, akik aggódnak hálózatuk biztonsága miatt. Igen, lehet, hogy kicsit körülményes, de szinte biztos módja a belépési folyamat védelmének. Sokféle megoldás létezik, de egy vállalatnál például így nézhet ki a bejelentkezés:

• A felhasználó hagyományos módon beírja a jelszavát
• Egy második, egyszer használatos jelszót generálnak, és elküldik a felhasználó mobiljára
• A felhasználó a végső bejelentkező oldalon megadja a telefonjára érkezett kódot
• Belépés engedélyezve

Az MFA még egyszerűbb bevezetési módja, ha a dolgozó mobiltelefonszáma szolgál második azonosítóként. A logika az, hogy a hackernek rendkívül kicsi az esélye arra, hogy mind az első belépési adatokat, mind a mobilszámot megszerezze. Ez az extra védelmi réteg a legtöbb rendszeren könnyen aktiválható, és jelentősen megerősíti a jelszóbiztonságot.

A terület egyik úttörője a Google, amely nemrégiben egy éves időszakot zárt úgy, hogy 85 000 dolgozójából egyetlen egynek sem törték fel a Gmail-fiókját. Ezt egy fizikai biztonsági kulcs (Titan) használatával érték el, amely USB-portba csatlakozik. Még felhasználónév és jelszó birtokában sem jutott be a hacker a fiókba, ha nem volt nála a fizikai kulcs.

Záró gondolatok

A lényeg, hogy a KKV-knek szem előtt kell tartaniuk: a weboldal és a hálózat biztonsága nem azt jelenti, hogy egyszer megnyomnak egy gombot, és soha többé nem kell aggódniuk a kiberbűnözés miatt. Ez egy folyamatos folyamat, amelyben a célvonal mindig előrébb kerül, amikor egy lépést teszünk felé. Nincs „beállítom és elfelejtem” megoldás. A rosszfiúk sosem hagyják abba a próbálkozást és a tanulást, egyre kifinomultabbak lesznek, ezért ön sem teheti. Manapság a cégeknek meg kell felelniük az adatvédelmi szabályozásoknak , így egy adatkezelési rendszer biztosítja azt is, hogy minden felhasznált adat megfelelő módon legyen gyűjtve és kezelve.

Ha még nem tette, önnek – vagy egy kijelölt munkatársának – követnie kell a kiberbiztonsági iparág híreit, hogy időben értesüljön az új támadási és védekezési módszerekről. Olyan világban, ahol az ellenfél sosem hagyja abba a tanulást, ön sem teheti meg. Ha fontos önnek a vállalkozása, a beletörődés nem opció, ha azt akarja, hogy a privát hálózat és adatok tényleg privátok is maradjanak.