Ασφάλεια και ηρεμία. Αυτό θέλουμε όλοι, σωστά; Και έτσι, αφού κάνατε την έρευνά σας, αγοράσατε το λογισμικό, θέσατε ένα μεγάλο και δυνατό password, το οποίο μετά από λίγο ξεχάσατε και επαναφέρετε το παλιό που έχετε χρόνια και θυμάστε, όμως το ξανασκεφτήκατε και το ξανά αλλάξατε σε ένα δυνατό password. Οπότε είστε καλυμμένοι, σωστά; Λάθος!
Σύμφωνα με τη Juniper Research, κορυφαία εταιρεία ανάλυσης στον τομέα της τεχνολογίας, οι ζημίες που θα υποστούν οι εταιρείες εξαιτίας του cybercrime θα φτάσουν $5 τρισεκατομμύρια μέχρι το 2024, ενώ ο μέσος όρος κόστους για μία επίθεση είναι $3.92 εκατομμύρια παγκοσμίως, σύμφωνα με δεδομένα από την IBM.
Η μάχη ενάντια στις κυβερνοαπειλές είναι καθημερινή και πρέπει να έχουμε τον έλεγχο. Καθώς τα cyber-attacks γίνονται ολοένα και πιο επιτηδευμένα και συχνά, είναι απαραίτητο να οχυρωθεί η επιχείρηση με τη σωστή ασφάλεια αλλά και να είμαστε ενήμεροι για τις τάσεις στον κλάδο.
Τι είναι το cybersecurity και γιατί είναι σημαντικό;
Με τόσες εφαρμογές business να τρέχουν στο web, το cybersecurity γίνεται μια σημαντική επιχειρηματική λειτουργία που πρέπει να διατηρείται και να αναβαθμίζεται συνεχώς, καθώς οι απειλές αναπτύσσονται και επιστρέφουν, επίσης συνεχώς.
Με τον όρο “cybersecurity” εννοούμε το σύνολο των διεργασιών, τεχνολογιών και εφαρμογών που χρησιμοποιούνται για να προστατέψουμε συσκευές και δεδομένα από cyberattacks. Υπάρχει ευρεία γκάμα υπηρεσιών που μπορούν να κάνουν ισχυρή την προστασία της επιχείρησή σας από τις επιθέσεις. Το αδύναμο cybersecurity εμπεριέχει τον ρίσκο της διαρροής δεδομένων, με συνέπεια βέβαια αυτά τα δεδομένα να μπορούν να τα εκμεταλλευτούν κακόβουλοι cyber attackers, το ρίσκο του να μην μπορούν να χρησιμοποιηθούν οι συσκευές, αλλά ακόμα και οι άνθρωποι να πέσουν θύματα εκβιασμού. Στον επιχειρηματικό κόσμο, ένας τέτοιος κίνδυνος μπορεί να αποβεί καταστροφικός, εάν οι διαδικασίες και οι έλεγχοι ασφαλείας αποτύχουν να δώσουν την προστασία που χρειάζεται, αφήνοντας έτσι τις εταιρείες σε πολύ ευάλωτη θέση. Τα δεδομένα μιας εταιρείας είναι ευαίσθητα και πολύτιμα, και έτσι, εάν είναι εκτεθειμένα, υπάρχει ο κίνδυνος παύσης εργασιών, απώλειας εσόδων αλλά και πελατών. Εάν μία εταιρεία δεν συμμορφώνεται με τον Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), υπάρχει επίσης το ρίσκο να πληρώσει μεγάλα πρόστιμα.
Πόσα είδη cybersecurity υπάρχουν;
Ας δούμε λοιπόν τους τύπους των απειλών από τις οποίες μας προστατεύει το cybersecurity:
Phishing: Συνήθως μέσω ενός email το οποίο φαινομενικά είναι αυθεντικό και φαίνεται να φέρει γνωστή έγκυρη ταυτότητα, οι cybercriminals ζητούν πρόσβαση σε κωδικούς και άλλα ευαίσθητα δεδομένα όπως πληροφορίες πιστωτικών καρτών. Εδώ υπάρχουν δύο είδη απειλών:
- Το «spear phishing» όπου στοχεύεται μία συγκεκριμένη ομάδα ατόμων, όπως για παράδειγμα το Οικονομικό τμήμα, είτε οι c-level executives που έχουν πρόσβαση σε πολύτιμα δεδομένα.
- Το «business email compromise»: Με αυτήν την τεχνική, οι cyber attackers παρακολουθούν τα εταιρικά business emails ώστε να κατανοήσουν επικοινωνίες και διαδικασίες. ‘Έπειτα, ζητούν δεδομένα ή και πόρους, για άλλη μια φορά χρησιμοποιώντας ψεύτικη ταυτότητα, προσποιούμενοι τους συνεργάτες ή εργαζομένους.
‘Έτσι λοιπόν προκύπτει η ανάγκη για δυνατή προστασία των emails.
- Malware: σχετικά γνωστός όρος, ο οποίος συναντάται συχνά. Ουσιαστικά είναι ένας τύπος software, το οποίο εκμεταλλεύεται εκτεθειμένα σημεία ώστε να επιτεθεί στο δίκτυο μας εταιρείας. Συνήθως παίρνει πρόσβαση όταν ένα μέλος της ομάδας κατεβάζει αρχεία τα οποία το περιέχουν, ή κλικάρει σε ύποπτους συνδέσμους που βρίσκονται σε emails.
Υπάρχουν τρεις τύποι malware:
- Το ransomware: Οι cybercriminals το χρησιμοποιούν είτε για να μπλοκάρουν την πρόσβαση των χρηστών στα δεδομένα τους, είτε για να τους εκβιάσουν ότι θα τα χρησιμοποιήσουν εναντίον τους, για παράδειγμα ότι θα τα δημοσιεύσουν ή ότι θα τα στείλουν στον εργοδότη τους, εκτός εάν τα θύματα πληρώσουν λύτρα.
- Το spyware: Το συγκεκριμένο χρησιμοποιείται για τη συλλογή ευαίσθητων πληροφοριών από ένα άτομο ή μία εταιρεία, χωρίς βέβαια αυτοί να το γνωρίζουν.
- Οι ιοί (viruses): ‘Ένας τύπος software με τη δυνατότητα να αντιγράφει τον εαυτό του, εισάγοντας μικρά κομμάτια κώδικα σε άλλα προγράμματα.
Zero-day exploit
Αυτό εφαρμόζεται όταν υπάρχει ένα περιθώριο χρόνου και μία ευκαιρία όπου η εταιρεία είναι εκτεθειμένη, μέχρι να μπορέσει να δράσει εφαρμόζοντας ή αναβαθμίζοντας κάποιο security patch.
Denial-of-service (DoS) attack
Ο σκοπός αυτής της επίθεσης είναι να κάνει την συσκευή ή το δίκτυο μη διαθέσιμο στους χρήστες. Αυτή η απειλή λειτουργεί διακόπτοντας υπηρεσίες, πλημμυρίζοντας με traffic τους servers και τα δίκτυα ενός οργανισμού, ώστε να μειώσει πολύ το bandwidth και να εξαντλήσει πόρους.
Man-in-the-middle (MitM) attack
Αυτή η περίπτωση συμβαίνει όταν ο attacker εισάγει τον εαυτό του μέσα σε μία συναλλαγή, «κρυφακούγοντας» τις πληροφορίες ανάμεσα στις δύο πλευρές που συναλλάσουν. Ο attacker κάνει ανεξάρτητες συνδέσεις με τα βήματα και επεμβαίνει στα μεταξύ τους μηνύματα, πιθανόν αλλάζοντας την πληροφορία ή εισάγοντας άλλα μηνύματα, με στόχο να αποσπάσει δεδομένα. Για παράδειγμα, ένας hacker μπορεί να μεταφέρει πόρους από τον τραπεζικό λογαριασμό του θύματος στο δικό του. Ένα από τα πιο κοινά σημεία από τα οποία μπορεί να αποκτήσει πρόσβαση, είναι τα δημόσια WiFi, τα οποία δεν έχουν ασφάλεια.
Structured Query Language (SQL) injection
Είναι ένας τύπος cyberattack, όπου ο hacker χρησιμοποιεί ένα κομμάτι κώδικα SQL (Structured Query Language) ώστε να εκμεταλλευτεί μία βάση δεδομένων και να αποκτήσει πρόσβαση σε πιθανώς ευάλωτες πληροφορίες. Αυτή η απειλή λειτουργεί εισάγοντας κακόβουλο λογισμικό σε μία φόρμα της εταιρείας ή σε μία εφαρμογή της, και έτσι δίνεται η δυνατότητα να αποκαλυφθούν ευαίσθητα δεδομένα.
Βέβαια, πολλές από αυτές τις απειλές μπορούν να αποφευχθούν, με τη σωστή επιμόρφωση της ομάδας πάνω στην προστασία δεδομένων, με την επικοινωνία σωστής πρακτικής και φυσικά την εφαρμογή λύσεων ΙΤ. Οι οδηγίες για την ασφάλεια των password είναι υψίστου σημασίας. Ωστόσο, καθώς οι cybersecurity απειλές γίνονται ολοένα και πιο περίπλοκες, οι οργανισμοί χρειάζεται να πάρουν πιο ισχυρά μέτρα προστασίας.
Ας δούμε λοιπόν 15 πράγματα που μπορείτε να κάνετε για να προστατέψετε την εταιρεία σας.
1. Αναγνωρίστε τις ανάγκες σας και κάνετε σχεδιασμό.
Ας τα πάρουμε από την αρχή: Τι ρίσκα υπάρχουν για τις online υπηρεσίες και τις συσκευές που χρησιμοποιεί η εταιρεία σας; Κάνετε μία λίστα και συνδυάστε κάθε ένα με μία λύση. Εάν δεν μπορείτε να βρείτε λύση, σκεφτείτε να αλλάξετε υπηρεσίες ή συσκευές. Στο τέλος της ημέρας, στην περίπτωση που πέσετε θύμα επίθεσης, θα πρέπει ούτως ή άλλως να προβείτε σε αυτές τις ενέργειες.
2. Κρυπτογραφήστε τα δεδομένα σας.
Η κρυπτογράφηση δεδομένων τα μεταφράζει σε μία άλλη μορφή ή σε άλλο κώδικα, ώστε μόνο οι άνθρωποι με πρόσβαση σε κάποιο κλειδί αποκρυπτογράφησης (decryption key) ή password μπορούν να το διαβάσουν. Τα κρυπτογραφημένα δεδομένα ονομάζονται «ciphertext», ενώ τα ακρυπτογράφητα «plaintext». Η κρυπτογράφηση είναι μία από τις πιο δημοφιλής και αποτελεσματικές μεθόδους ασφαλείας δεδομένων για τους οργανισμούς. Ένα σημείο για να σταθεί κανείς, είναι ότι η πιο βασική μέθοδος επίθεσης σε κρυπτογραφημένα data σήμερα, είναι να χρησιμοποιεί κανείς τυχαίους κωδικούς μέχρι να βρεθεί ο σωστός. Φυσικά, το μέγεθος του κλειδιού ορίζει και το κατα πόσο είναι εύκολο να βρεθεί, οπότε είναι σημαντικό να θυμόμαστε ότι η δύναμη της κρυπτογράφησης είναι άμεσα συνδεόμενη με το μέγεθος του κλειδιού.
3. Επιμορφώστε τους εργαζομένους σας
Οι περισσότεροι επαφιόμαστε στην πεποίθηση ότι τα συστήματα «απλά θα δουλέψουν». Ξυπνάμε το πρωί, γυρνάμε το διακόπτη και πιστεύουμε ότι το φως θα ανάψει. Οι ομάδες είναι συνεχώς απασχολημένες, έχουν ανάγκη να ξέρουν ότι αυτά τα πράγματα είναι φροντισμένα και να μην χρειάζεται να επέμβουν. Όμως ένα συλλογικό focus στο cyber-security είναι σημαντικό κομμάτι της εταιρικής νοοτροπίας. Εξηγήστε τη σημασία, δώστε το χρόνο, παρουσιάστε τους τρόπους με τους οποίους μπορεί να επηρεαστεί η επιχείρηση. Χρησιμοποιούμε εργαλεία και βέβαια στηριζόμαστε σε αυτά, αλλά ταυτοχρόνως πρέπει να προσέχουμε και να είμαστε συγκεντρωμένοι για να είμαστε ασφαλείς. Πρέπει να ληφθούν υπόψιν τα ανθρώπινα λάθη ή η αμέλεια και να οριστούν διαδικασίες ώστε σε αυτές τις περιπτώσεις να περιοριστεί ο κίνδυνος ή να διορθωθεί το πρόβλημα. Θυμηθείτε, προστατεύετε το επιχειρησιακό σας περιβάλλον, οπότε πάρτε το χρόνο να εμπλέξετε τις ομάδες σας και να τις επιμορφώσετε.
4. Φροντίστε τα hardware συστήματα ασφαλείας
Κάθε μία συσκευή στην εταιρεία σας μπορεί να είναι σημείο πρόσβασης για έναν cybercriminal. Οπότε, εάν έχετε ευαίσθητες πληροφορίες σε αυτήν την συσκευή, φροντίστε να την προστατέψετε με multi-factor authentication. Μπορεί να είναι ενοχλητικό (ας είμαστε ευγενικοί με το tech support), αλλά το multi-factor authentication δουλεύει, ασφαλίζει τις συσκευές. Φυσικά θα χρειαστεί χρόνος και ενέργεια, αλλά είναι απαραίτητο για την στρατηγική κυβερνοασφάλειάς σας. Να θυμάστε ότι κάθε κόστος που μπορεί να υπάρχει σίγουρα είναι λιγότερο από μια απώλεια ή διαρροή δεδομένων.
5. Αναβαθμίζετε τα συστήματά σας και επιτρέψτε τις αυτόματες αναβαθμίσεις
Οι αυτόματες αναβαθμίσεις των συσκευών είναι η καλύτερη πρακτική. Οι αναβαθμίσεις είναι πάρα πολύ σημαντικές για την καλή λειτουργία των εφαρμογών και των υπηρεσιών, οπότε κάνετε τα updates στους υπολογιστές σας. Αυτά οχυρώνουν τις συσκευές ενάντια σε πιθανές επιθέσεις. Παλαιότερες εκδόσεις λογισμικών μπορεί να περιέχουν ευάλωτα σημεία τα οποία έχουν εντοπίσει οι cybercriminals στις συσκευές σας. Και αυτό τους δίνει ευκαιρία.
6. Ελάτε στο cloud
Γλιτώστε χρόνο και ενέργεια επιλέγοντας έναν πάροχο υπηρεσιών cloud. Ο πάροχος θα μπορεί να αποθηκεύει δεδομένα, να διατηρεί software patches και να εφαρμόζει cybersecurity. Αυτό είναι μια καλή λύση ειδικά για μικρές εταιρείες που θέλουν έναν καλό βαθμό ασφάλειας. Ένας αξιόπιστος πάροχος υπηρεσιών cloud μπορεί να βοηθήσει αφαιρώντας μεγάλο όγκο εργασίας από μια μικρή επιχείρηση.
7. Δώστε προσοχή στις προσωπικές συσκευές
Όλοι μας έχουμε προσωπικές κινητές συσκευές και τις παίρνουμε μαζί μας στο γραφείο. Όταν τις χρησιμοποιούμε για πρόσβαση σε εταιρικά δεδομένα, μπορεί να εκθέτουμε την εταιρεία σε κίνδυνο εάν δεν είμαστε προσεκτικοί. Πρέπει να υπάρχει ένα σχέδιο ασφαλείας και νομικής προστασίας για τους κινδύνους αυτούς. Η πολιτική πρέπει να είναι ξεκάθαρη και κατανοητή, να καλύπτει την περίπτωση διαγραφής δεδομένων, την παρακολούθηση τοποθεσίας και την επίβλεψη πλοήγησης στο διαδίκτυο. Οι εργαζόμενοι πρέπει να έχουν πλήρη γνώση και να επιμορφωθούν πάνω στην πολιτική αυτην. Για τους εργαζομένους εκτός γραφείου, πρέπει να ληφθούν μέτρα πρόληψης, καθώς αυτοί μπορεί να χρησιμοποιούν τις προσωπικές τους συσκευές και από αυτό να προκύπτουν κίνδυνοι εάν δεν εφαρμόζεται η πολιτική σωστά.
8. Δημιουργήστε ισχυρούς κωδικούς πρόσβασης
Οι απαιτήσεις για τα password πρέπει να ακολουθούνται. Φτιάξτε ένα ισχυρό κωδικό, με κεφαλαία, μικρά, ειδικούς χαρακτήρες, αριθμούς, και βέβαια είναι καλή πρακτική να αλλάζετε passwords συχνά. Τα passwords που λήγουν είναι πολύ αποτελεσματικά σαν μέρος μιας καλής cybersecurity πρακτικής, που συμπληρώνεται βέβαια με multi-factor authentication όπως είπαμε και πιο πάνω. Εδώ μπορούν να βοηθήσουν και password managers (προγράμματα δημιουργίας password) , καθώς οι ομάδες σας δεν χρειάζεται να θυμούνται αυτούς τους περίπλοκους κωδικούς, οι οποίοι δεν μπορούν να σπάσουν εύκολα.
9. Προστατέψτε το ασύρματο δίκτυό σας
Προσπαθήστε να χρησιμοποιείτε την ισχυρότερη ρύθμιση κρυπτογράφησης που μπορείτε, ώστε να προστατέψετε την εταιρεία σας και κάνετε το δίκτυο μη ορατό. Αυτό είναι το καλύτερο καθώς ένας hacker δε μπορεί να επιτεθεί αυτό το οποίο δε μπορεί να δει!
10. Back-up σε όλα
Πάρτε νωρίς μέτρα, κάνετε back-up όλα τα δεδομένα και αποθηκεύστε τα αλλού. Η απώλεια δεδομένων μπορεί να είναι καταστροφική και για να τα προστατέψετε, το back-up είναι από τα πρώτα βήματα. Με αυτόν τον τρόπο, σε περίπτωση επίθεσης, ο οργανισμός σας θα μπορεί να επιστρέψει γρήγορα σε λειτουργία. Με την σημερινή τεχνολογία και τα εργαλεία που διαθέτουμε, το back-up απαιτεί πολύ λίγο χρόνο και κόπο, οπότε καλό είναι να γίνεται συχνά. Και η καλύτερη πρακτική είναι να χρησιμοποιούνται πολλές μέθοδοι back-up, ώστε να διασφαλίζεται η ακεραιότητα των αρχείων σας. Ένα καλό σύστημα back-up συνήθως περιέχει:
- Καθημερινά back-ups των πιο προσφατων δεδομένων σε κινητή συσκευή ή/και στο cloud
- Βack-ups στους servers στο τέλος της εβδομάδας
- Βack-ups στους servers κάθε τρίμηνο
- Ετήσια server back-ups
Συχνά να ελέγχετε και να τεστάρετε ότι μπορείτε να επαναφέρετε δεδομένα από το back-up σας.
Οι κινητές συσκευές που χρησιμοποιούνται για την αποθήκευση δεδομένων πρέπει να παραμένουν εκτός του χώρου της εταιρείας και αποσυνδεδεμένες από υπολογιστές. Με αυτόν τον τρόπο μπορείτε να αποτρέψετε cyber επιθέσεις. Εναλλακτικά, μπορείτε να κάνετε back-up με μία λύση cloud. Η ιδανική λύση θα χρησιμοποιεί κρυπτογράφηση κατά τη διάρκεια της μεταφοράς και αποθήκευσης αρχείων, και θα προσφέρει multi-factor authentication για την πρόσβαση.
11. Δώστε προσοχή στα data permissions
Όταν πρόκειται για δεδομένα, είναι πάντα έξυπνο να αναρωτιόμαστε «Ποιος μπορεί να δει αυτήν την πληροφορία»; Για την καλύτερη ασφάλεια, περιορίστε την πρόσβαση σε αυτούς που επιτρέπεται να χρησιμοποιήσουν τα συγκεκριμένα αρχεία και βάλτε προτεραιότητα ώστε αυτές οι άδειες να αρθούν εάν κάποιος χρήστης φύγει από την εταιρεία ή από το συγκεκριμένο project.
12. Παρακολουθείτε και εφαρμόστε τα πιο πρόσφατα standards ασφαλείας
Καθώς οι κυβερνοεπιθέσεις εξελίσσονται, εξελίσσονται και τα standards στην ασφάλεια και βέβαια οι απαιτήσεις συμμόρφωσης προστασίας δεδομένων. Με συνεχή επιμόρφωση μπορείτε να έχετε πάντα την τελευταία ενημέρωση για το cybersecurity. Μπορείτε να οργανώσετε σεμινάρια για ζητήματα ΙΤ, ιδίως στα στελέχη management ώστε να κρατάτε επαφή με τις πιο πρόσφατες τεχνολογίες. Αξιολογήστε τις υπάρχουσες λύσεις σας, συχνά.
13. Κάνετε συχνά ελέγχους ασφαλείας
Αυτό μπορεί να είναι δύσκολο καθώς πολλές μικρές εταιρείες δεν έχουν ειδικό τμήμα ή εργαζόμενο IT στο προσωπικό τους. Ίσως θα σας ωφελήσει να σκεφτείτε την πρόσληψη μίας εταιρείας IT που θα σχεδιάσει και θα διαχειρίζεται το cybersecurity για εσάς. Η ασφάλεια είναι μία σιγουρη οικονομική επένδυση, και μακροπρόθεσμα γίνεται απόσβεση. Οι σπεσιαλίστες IT έχουν την τεχνογνωσία να εκτελούν τους ελέγχους για εσάς. Μπορείτε να βρείτε έναν security expert εδώ.
14. Στήστε firewall
Το firewall είναι ένα κομμάτι software η hardware το οποίο παρακολουθεί και ελέγχει εισερχόμενο και εξερχόμενο network traffic, έχοντας προκαθορισμένους κανόνες ασφαλείας. Λειτουργεί σαν «θυρωρός» για όλο το εισερχόμενο και εξερχόμενο traffic. Το firewall θα προστατέψει τα εσωτερικά δίκτυα της επιχείρησής σας, αλλά χρειάζεται συχνές αναβαθμίσεις ώστε να λειτουργεί καλά. Θυμηθείτε ότι πρέπει να το εγκαταστήσετε και σε όλες σας τις κινητές συσκευές.
15. Χρησιμοποιείστε φίλτρα για spam
Τα φίλτρα μπορούν να μειώσουν σημαντικά το πλήθος των spam και phishing emails που λαμβάνει η εταιρεία σας. Εάν λάβετε ένα spam η phishing email, το καλύτερο είναι να το διαγράψετε και να το αναφέρετε. Κάποιες φορές, καθώς οι hackers γίνονται ολοένα και πιο εκλεπτυσμένοι στις ενέργειές τους, τα spam είναι πολύ αληθοφανή. Χρησιμοποιώντας φίλτρο spam θα μειώσετε την πιθανότητα του να το ανοίξετε εσείς ή κάποιος από τους εργαζομένους σας κατα λάθος. Ερευνήστε λυσεις προστασίας endpoint για να έχετε το κεφάλι σας ήσυχο όταν επικοινωνείτε.
Για την προστασία της επιχείρησής σας, ένα 10% με 15% του IT budget που διαθέτετε για το ΙΤ, πρέπει να πηγαίνει στην προστασία ενάντια στις διαρροές και στις επιθέσεις. Φυσικά, το κόστος διαφέρει ανάλογα με το μέγεθος της εταιρείας, τις ανάγκες της, τις υπηρεσίες που χρειάζονται και τον τύπο εγκατάστασης (self-install ή professional install). Για τις καλύτερες λύσεις για τη δική σας εταιρεία, βρείτε έναν συνεργάτη εδώ.
