7 būdai sunaikinti verslą vienu paspaudimu

2024 Autorius: Malcolm Clapton | [email protected]. Paskutinį kartą keistas: 2024-01-15 16:46

Vienas kenkėjiškas el. laiškas ir naivus darbuotojas gali kainuoti jūsų įmonei pinigus ar reputaciją. Kartu su Microsoft papasakosime apie kokias kiberhigienos taisykles reikia pasikalbėti su savo komanda.

Raskite dar daugiau patarimų, kaip apsisaugoti nuo skaitmeninių grėsmių.

Kasdien atsiranda naujų kibernetinių grėsmių tipų. Gali atrodyti, kad įsilaužėliai ir sukčiai vejasi tik rinkos milžinus. Tačiau taip nėra. 63 % visų atakų yra nukreiptos į mažas įmones, o 60 % mažų įmonių užsidaro po kibernetinės atakos. Be to, atakų aukos nebūtinai yra Silicio slėnio startuoliai. Rusijos Federacijos Generalinė prokuratūra per pirmuosius šešis 2019 metų mėnesius užfiksavo 180 153 elektroninius nusikaltimus. Ir tai 70% daugiau nei 2018 m.

Net jei turite visą IT skyrių ir visuose kompiuteriuose įdiegtos antivirusinės programos, patikimai apsaugai to neužtenka. Be to, visada yra žmogiškasis faktorius: netinkami darbuotojų veiksmai gali sukelti skaitmeninę katastrofą. Todėl svarbu pasikalbėti su savo komanda apie kibernetines grėsmes ir paaiškinti, kaip apsisaugoti. Surinkome septynias situacijas, kai vieno žmogaus neapdairumas jūsų įmonei gali brangiai kainuoti.

1. Paspaudę kenkėjišką nuorodą

Situacija: darbuotojo paštu išsiunčiamas laiškas, kuris atrodo kaip įprastas pažįstamo adresato laiškas. Laiške yra mygtukas, nukreipiantis į svetainę, kuri nesukelia žmogui įtarimo. Darbuotojas seka nuorodą ir yra nukreipiamas į sukčių svetainę.

Aprašytas mechanizmas yra vadinamoji sukčiavimo ataka. „Microsoft“tyrimai teigia, kad tai yra viena iš labiausiai paplitusių sukčiavimo schemų. 2018 metais tokių išpuolių padaugėjo 350 proc. Sukčiavimas yra pavojingas, nes apima socialinės inžinerijos elementus: užpuolikai siunčia el. laiškus el. paštu įmonės ar asmens, kuriuo auka tikrai pasitiki, vardu.

Sukčiavimo schemos tampa vis sudėtingesnės: atakos vyksta keliais etapais, o laiškai siunčiami iš skirtingų IP adresų. Sukčiavimo el. laiškas netgi gali būti užmaskuotas kaip įmonės vadovo žinutė.

Norint neužkliūti, reikia apgalvotai perskaityti visas raides, pastebėti neatitikimus vienoje adreso raidėje ar simboliu, o kilus įtarimui – prieš ką nors darant kreiptis į siuntėją.

2. Atsisiunčiamas užkrėstas failas

Situacija: darbuotojui darbui reikalinga nauja programinė įranga. Jis nusprendžia atsisiųsti programą viešai ir patenka į svetainę, kurioje kenkėjiška programa apsimeta naudinga programine įranga.

Virusai internete dažnai yra užmaskuoti kaip veikianti programinė įranga. Tai vadinama klastojimu – programos tikslo klastojimu, siekiant pakenkti vartotojui. Kai tik darbuotojas atidaro atsisiųstą failą, jo kompiuteris patenka į rizikos zoną. Be to, kai kurios svetainės automatiškai atsisiunčia kenkėjišką kodą į jūsų kompiuterį – net ir jums nieko nebandant atsisiųsti. Šios atakos vadinamos atsisiuntimais pagal diską.

Tolesnės pasekmės priklauso nuo viruso tipo. Išpirkos reikalaujančios programos anksčiau buvo paplitusios: užblokavo kompiuterį ir reikalavo išpirkos iš vartotojo, kad grįžtų prie normalaus veikimo. Dabar labiau paplitęs kitas variantas – užpuolikai naudoja svetimus kompiuterius kriptovaliutoms kasti. Tuo pačiu metu kiti procesai sulėtėja, o sistemos našumas mažėja. Be to, turėdami prieigą prie kompiuterio, sukčiai gali bet kada gauti konfidencialių duomenų.

Artyom Sinitsyn Informacijos saugumo programų Vidurio ir Rytų Europoje direktorius, Microsoft.

Įmonės darbuotojai turėtų žinoti, kad veikiančios programinės įrangos negalima atsisiųsti iš interneto. Žmonės, kurie skelbia programas internete, neprisiima jokios atsakomybės už jūsų duomenų ir įrenginių saugumą.

Viena iš pirmųjų kibernetinio saugumo taisyklių yra naudoti licencijuotą programinę įrangą. Pavyzdžiui, joje pateikiami visi jūsų verslui reikalingi sprendimai, kartu garantuojama visiška jūsų informacijos apsauga.

Tai ne tik saugu, bet ir patogu: naudodami „Microsoft 365“galite naudoti visas „Office“programas, sinchronizuoti „Outlook“el. paštą su kalendoriumi ir saugoti visą svarbią informaciją 1 TB „OneDrive“debesyje.

3. Failų perkėlimas neapsaugotais kanalais

Situacija: darbuotojas turi pasidalinti su kolega darbo ataskaita su konfidencialia informacija. Kad būtų greičiau, jis įkelia failą į socialinę žiniasklaidą.

Kai darbuotojams nepatogu naudotis įmonių pokalbiais ar kita biuro programine įranga, jie ieško sprendimų. Ne tam, kad tyčia pakenktų, o tiesiog todėl, kad taip lengviau. Ši problema tokia dažna, kad jai net yra specialus terminas – šešėlis IT. Taip jie apibūdina situaciją, kai darbuotojai savo informacines sistemas kuria priešingai nei numato įmonės IT politika.

Akivaizdu, kad konfidencialios informacijos ir failų perdavimas socialiniais tinklais ar kanalais be šifravimo kelia didelę duomenų nutekėjimo riziką. Paaiškinkite darbuotojams, kodėl svarbu laikytis protokolų, kuriuos kontroliuoja IT skyrius, kad iškilus problemoms darbuotojai nebūtų asmeniškai atsakingi už informacijos praradimą.

Artyom Sinitsyn Informacijos saugumo programų Vidurio ir Rytų Europoje direktorius, Microsoft.

4. Pasenusi programinė įranga ir atnaujinimų trūkumas

Situacija: darbuotojas gauna pranešimą apie naujos programinės įrangos versijos išleidimą, tačiau visą laiką atideda sistemos atnaujinimą ir dirba su senąja, nes „nėra laiko“ir „daug darbo“.

Naujos programinės įrangos versijos yra ne tik klaidų pataisymai ir gražios sąsajos. Tai ir sistemos pritaikymas prie iškilusių grėsmių, taip pat informacijos nutekėjimo kanalų persidengimas. „Flexera“praneša, kad paprasčiausiai įdiegus naujausius programinės įrangos atnaujinimus galima sumažinti sistemos pažeidžiamumą 86%.

Kibernetiniai nusikaltėliai reguliariai randa sudėtingesnių būdų, kaip įsilaužti į kitų žmonių sistemas. Pavyzdžiui, 2020 metais kibernetinėms atakoms naudojamas dirbtinis intelektas, o įsilaužimų į debesų saugyklas vis daugėja. Neįmanoma užtikrinti apsaugos nuo rizikos, kurios nebuvo, kai programa išjungta. Todėl vienintelė galimybė pagerinti saugumą yra nuolat dirbti su naujausia versija.

Panaši situacija ir su nelicencijuota programine įranga. Tokioje programinėje įrangoje gali trūkti svarbios funkcijų dalies ir niekas neatsako už tinkamą jos veikimą. Mokėti už licencijuotą ir palaikomą programinę įrangą yra daug lengviau, nei rizikuoti svarbia įmonės informacija ir kelti pavojų visos įmonės veiklai.

5. Viešųjų Wi-Fi tinklų naudojimas darbui

Situacija: darbuotojas dirba su nešiojamu kompiuteriu kavinėje ar oro uoste. Jis jungiasi prie viešojo tinklo.

Jei jūsų darbuotojai dirba nuotoliniu būdu, informuokite juos apie viešojo Wi-Fi pavojus. Pats tinklas gali būti netikras, per kurį bandydami prisijungti sukčiai vagia duomenis iš kompiuterių. Tačiau net jei tinklas yra tikras, gali kilti kitų problemų.

Andrejus Beškovas „Softline“verslo plėtros vadovas.

Dėl tokios atakos gali būti pavogta svarbi informacija, prisijungimai ir slaptažodžiai. Sukčiai gali pradėti siųsti pranešimus jūsų vardu ir pakenkti jūsų įmonei. Prisijunkite tik prie patikimų tinklų ir nedirbkite su konfidencialia informacija per viešąjį „Wi-Fi“.

6. Svarbios informacijos kopijavimas į viešąsias tarnybas

Situacija: darbuotojas gauna laišką iš užsienio kolegos. Kad viską suprastų tiksliai, jis nukopijuoja laišką vertėjui naršyklėje. Laiške yra konfidenciali informacija.

Didelės įmonės kuria savo įmonių tekstų redaktorius ir vertėjus ir nurodo darbuotojams naudoti tik juos. Priežastis paprasta: viešosios internetinės paslaugos turi savo informacijos saugojimo ir apdorojimo taisykles. Jie nėra atsakingi už jūsų duomenų privatumą ir gali perduoti juos trečiosioms šalims.

Neturėtumėte įkelti svarbių dokumentų ar įmonės korespondencijos fragmentų į viešuosius išteklius. Tai taip pat taikoma raštingumo tikrinimo paslaugoms. Jau dabar yra informacijos nutekėjimo per šiuos išteklius atvejų. Nebūtina kurti savo programinės įrangos, užtenka darbo kompiuteriuose įdiegti patikimas programas ir paaiškinti darbuotojams, kodėl svarbu naudoti tik jas.

7. Daugiafaktorinio autentifikavimo ignoravimas

Situacija: sistema ragina darbuotoją susieti slaptažodį su įrenginiu ir piršto atspaudu. Darbuotojas praleidžia šį veiksmą ir naudoja tik slaptažodį.

Jei jūsų darbuotojai nesaugo slaptažodžių ant lipduko, priklijuoto prie monitoriaus, puiku. Tačiau to nepakanka, kad būtų pašalinta praradimo rizika. Patikimai apsaugai paketų „slaptažodis – prisijungimas“neužtenka, ypač jei naudojamas silpnas arba nepakankamai ilgas slaptažodis. „Microsoft“teigimu, jei viena paskyra patenka į kibernetinių nusikaltėlių rankas, tada 30% atvejų jiems reikia apie dešimt bandymų atspėti kitų žmonių paskyrų slaptažodį.

Naudokite kelių veiksnių autentifikavimą, kuris prideda kitus prisijungimo / slaptažodžio poros patikrinimus. Pavyzdžiui, piršto atspaudas, veido ID arba papildomas įrenginys, patvirtinantis prisijungimą. Kelių veiksnių autentifikavimas apsaugo nuo 99% atakų, kuriomis siekiama pavogti duomenis arba naudoti įrenginį kasybai.

Artyom Sinitsyn Informacijos saugumo programų Vidurio ir Rytų Europoje direktorius, Microsoft.

Norėdami apsaugoti savo verslą nuo šiuolaikinių kibernetinių atakų, įskaitant sukčiavimą, įsilaužimą į paskyrą ir el. pašto užkrėtimą, turite pasirinkti patikimas bendradarbiavimo paslaugas. Efektyvios apsaugos technologijos ir mechanizmai turi būti integruoti į gaminį nuo pat pradžių, kad juo būtų galima naudotis kuo patogiau, nereikėtų daryti kompromisų skaitmeninio saugumo klausimais.

Štai kodėl „Microsoft 365“apima daugybę išmaniųjų saugos funkcijų. Pavyzdžiui, apsaugoti paskyras ir prisijungimo procedūras nuo kompromisų naudojant integruotą rizikos vertinimo modelį, kelių veiksnių autentifikavimą, kuriam nereikia pirkti papildomų licencijų, arba autentifikavimą be slaptažodžio. Paslauga suteikia dinamišką prieigos kontrolę su rizikos įvertinimu ir atsižvelgiant į įvairias sąlygas. „Microsoft 365“taip pat turi integruotą automatizavimą ir duomenų analizę, taip pat leidžia valdyti įrenginius ir apsaugoti duomenis nuo nutekėjimo.