中小企業をデータ侵害から保護する方法

公開: 2019-10-29

サイバーセキュリティは、今日のサイバー脅威の状況において、多くの業界のあらゆる規模の企業に影響を与える問題になっています。

10年前、ハッカーはTargetやYahoo!などの大規模な小売業者や組織を標的にしました。 単一のネットワーク侵害で大量の販売可能なデータをキャプチャすることを望んで、今日、彼らはしばしば小さな小売業者やサービスプロバイダーをターゲットにしています。

2018年の単一のデータ侵害の全体的なコストは平均400万ドルを超えており、これらのコストは今後も増加する可能性があります。

ガソリンスタンド、レストラン、ホテルなどの小規模な小売業者やフランチャイズは、ますます多くのデータ侵害の犠牲になっています。これは、ターゲットにするには小さすぎるビジネスがないことを示しています。

この記事では、中小企業でデータ侵害が発生する方法と理由について説明し、ハッキングを回避するために従うことができる9つのベストプラクティスについて説明します。

中小企業をデータ侵害から保護する方法

画像| Pinterest

データ漏えいとは何ですか?

データ侵害とは、個人データまたは貴重なデータの不正なリリースです

ニュースでよく耳にする典型的なデータ侵害は、ネットワーク攻撃です。

外部のハッカーは、時には地球の反対側に安全に座って、会社のネットワークにアクセスし、盗んだデータをインターネット経由で自分たちに転送します。 ハッカーは、それにもかかわらず、企業のITシステムを無効にすることもできます。

インサイダーがデータを盗んで解放した場合にも、データ侵害が発生することがあります。

最も一般的な俳優?

不満を持っている、または最近解雇された従業員、または賄賂を受け取ったか、適切なセキュリティ対策を講じておらず、会社のデータを盗むために外部の犯罪者が侵入する場所となった第三者の請負業者。

データ漏えいが発生する3番目の方法は、不注意によるものです。 ITスタッフや他の従業員が、データをインターネット上で公開したままにしておくことがあります。

もう1つの例は、従業員が公共の場所で会社のラップトップを忘れたり、盗まれたりした場合です。

これらの違反は、不注意と不十分なセキュリティポリシーが原因で発生します。

データ漏えいはどのように発生しますか?

すべてのサイバーセキュリティ専門家の心に浮かぶ質問は、「データ侵害はどのように発生するのか」です。

答えがたくさんあり、事前に推測するのが難しいので難しい質問です。

多くの場合、データ侵害は、セキュリティポリシーと担当者が、犯罪者がセキュリティを侵害する可能性のある方法を認識していないために発生します。

とはいえ、ハッカーがプライベートビジネス(または個人)ネットワークに侵入する一般的な方法はいくつかあります。

  • 電子メールフィッシング:これは、企業ネットワークが侵害を経験する最も一般的な方法です。 フィッシングメールの主な目的は、従業員の資格情報を盗むか、仕事用のコンピューターにマルウェアをダウンロードするように仕向けることです。 ハッカーは、偽の電子メールが合法的なビジネスコミュニケーションまたはベンダーからの電子メールであると従業員に信じ込ませます。 従業員がこの攻撃の餌食になる可能性は常にわずかであるため、ハッカーはそれが発生するのを待っているターゲットにフィッシングメールを絶えず送信します。 通常、アクセスするにはシングルクリックで十分です。

中小企業をデータ侵害から保護する

画像| Pinterest

  • ゼロデイエクスプロイト:ゼロデイエクスプロイトは、メーカーによって発見されていないソフトウェアの欠陥です。 「ゼロデイ」とは、バグの修正を開始する日がまだ来ていないことを意味します。
    エクスプロイトがハッカーだけに知られている限り、ハッカーはそれを使用して、検出されないままコンピュータネットワークに侵入することができます。
  • ドライブバイダウンロード:Webサイトは、バックグラウンドで実行される多くのスクリプトをロードします。主にWebブラウザーで広告を配信するためです。 悪意のあるスクリプトが広告配置ネットワークに挿入されると、エクスプロイトを使用して、従業員の知らないうちにマルウェアをコンピューターにインストールする可能性があります。
  • ソーシャルエンジニアリング攻撃:ソーシャルエンジニアリングは、詐欺師の空想用語です。 これらの攻撃には、電話中に会社の従業員、警察の捜査官、または顧客になりすますことが含まれる可能性があります。
    また、従業員のバッジを盗み、それを使用して職場にアクセスすることも含まれます。

データ漏えいの結果

データ漏えいは、ビジネスを多くのコスト(財務、有形、無形)にさらします。

調査の結果、セキュリティの緩みが違反の原因であることが判明した場合、当面の金銭的費用は、訴訟、罰金、および契約上の罰則の形をとることがあります。

顧客は集団訴訟を起こす可能性が高く、企業のブランドは、広く公表された違反の後、何年もの間苦しむでしょう。

顧客のクレジットカード取引を処理する企業は、顧客の支払いデータが盗まれた場合、規制上の罰金とクレジットカードベンダーとの契約上の罰則の両方にさらされます。

その後の金融詐欺で金銭を失った銀行は、侵害された会社に責任を追及する可能性があります。

金融およびヘルスケア業界に関与する企業は、顧客および患者の記録と財務情報のプライバシーを保護するための厳しい規制要件の対象にもなります。

それらを安全に保つことに失敗すると、データ侵害後に発生する可能性のある他のコストと組み合わされたときに、中小企業を不自由にしたり破産させたりする可能性のあるペナルティが発生します。

データ漏えいは、企業のブランドと財政を損ない、中小企業を廃業させる可能性がありますが、地方自治体や州政府に起こった場合、その結果は悲惨なものになる可能性があります。

ITシステムに引き起こされた混乱は、アトランタ市がランサムウェア攻撃に見舞われたときのように、政府機関がコミュニティに不可欠なサービスを提供することを妨げる可能性があります。

データ漏えいを回避する方法

サイバーセキュリティは、ITスタッフに専任のセキュリティ専門家を追加する余裕がない中小企業に実装するのは困難です。

インサイダー詐欺によるものであれ、外部ハッカーによるものであれ、データ侵害からビジネスをより安全にするための経験則がいくつかあります。

データ漏えいを回避する方法

画像| Pinterest

  1. 外部のセキュリティコンサルタントを雇う:あなたの会社がセキュリティ計画を持っていない場合、最初のステップはあなたがそれを作成するのを手伝うコンサルタントを連れてくることです。 このオプションは、常勤スタッフを雇うよりも安価であり、徹底的なセキュリティ評価と従うべき推奨事項が得られます。
  2. すべてのデータを保護する:データ侵害は単なるネットワークハッキングではありません。 また、データの物理的セキュリティも評価する必要があります。 犯罪者はあなたのビジネスに侵入できますか? 従業員は紙または電子の機密記録にアクセスして、それらを盗むことができますか? 何らかの形で保護されていないデータを見つけた場合は、そのデータへのアクセスを制限する方法を見つけてください。
  3. 必要なデータのみを保存する:データ侵害の被害を最小限に抑える1つの方法は、発生したときに顧客と従業員のデータを手元に置いていないことです。 必要なデータのみを保存し、目的を果たしたら破棄することをお勧めします。 例としては、購入後に顧客の取引の詳細を保存しないことが挙げられます。
  4. 一般的なハッカーの戦術について従業員を訓練する:ネットワークセキュリティの最も弱い点は従業員です。
    ほとんどのデータ侵害は、マルウェアをインストールするリンクをクリックするか、アカウントのクレデンシャルを提供することにより、従業員が電子メールフィッシングの試みに陥ることから始まります。 セキュリティに精通した労働力があると、ハッカーが成功するのは難しくなります。
  5. ソフトウェアを最新の状態に保つ:ハッカーがプライベートネットワークを侵害する2番目に一般的な方法は、ソフトウェアの弱点を悪用してアクセスすることです。 ソフトウェアベンダーはセキュリティパッチを頻繁にリリースしており、ほとんどの場合、インターネットを介してソフトウェアが自動的に更新されるように構成できます。
  6. ポータブルストレージデバイスの使用を制限する:USBスティックは、ハッカーがプライベートネットワーク上のコンピューターに感染するための便利なツールです。 時には彼らはあなたの職場にアクセスするために従業員や請負業者になりすまし、USBスティックを差し込むことでコンピューターに感染します。
    彼らは、誰かがそれをコンピュータに接続してその内容をチェックすることを知って、それらを床に落とすかもしれません。
  7. セキュリティサービスでWebサイトとネットワークを保護する:セキュリティサービスは、企業がWebサイトとネットワークを侵害から守るのに役立ちます。 彼らは常に疑わしい活動がないかネットワークを監視し、すぐに危険信号を発します。 ほとんどの侵害は実行に数週間または数か月かかるため、侵入者を迅速に検出することが、ネットワーク侵害を阻止するための鍵となります。
  8. すべてのデータ転送を暗号化する:今日、強力な暗号化が存在し、データをデコードするための特別なキーなしで誰もがデータにアクセスすることを防ぎます。 堅牢な暗号化ポリシーを実装すると、ハッカーはデータ侵害時に盗んだデータを使用できなくなります。
  9. 管理者権限の制御:ハッカーは、データを盗むためにネットワークにアクセスした後、完全な管理者権限を取得する必要があります。 ネットワーク管理者アカウントのセキュリティを真剣に受け止めることで、潜在的なデータ侵害を防ぐことができます。 管理者アカウントの数を制限し、必要な権限のみを付与し、強力なパスワードを使用して保護します。

最終的な考え

データ漏えいの頻度と被害者になるための高いコストにより、すべての企業が強力なセキュリティ計画を作成し、それを遵守することが不可欠になっています。

データ漏えいを回避する方法はありませんが、適切な準備を行うことで、データ漏えいによる被害を最小限に抑えることができます。

サイバーセキュリティ会社に相談し、一連の実用的なセキュリティポリシーに従うことで、中小企業はデータを安全に保つことができます。 これらのセキュリティポリシーには、ソフトウェアを最新の状態に保つこと、不正アクセスを防ぐためにネットワークが適切に構成されていることを確認することが含まれます。

あなたのセキュリティはあなたの最も弱いリンクと同じくらい強いことを決して忘れないでください、そしてあなたの戦略の一部としてサイバーセキュリティに関する従業員トレーニングを含めることを確認してください。

従業員が不審な電子メールを回避する方法を知っていて、外出時にビジネス用ラップトップを安全に保つための優れた方法を知っていると、被害者になる可能性を減らすことができます。

堅実なセキュリティ計画とそれを実装する意志は、大小を問わず、ビジネスを保護するための鍵です。