Według ostatnich badań przeprowadzonych przez Thomsona Reutersa, bezpieczeństwo informacji ma kluczowe znaczenie dla kontroli wewnętrznej w małych i średnich organizacjach teraz i w latach przyszłych.
Według nowego raportu Thomsona Reutersa How Small and Mid-Size Entities Can Protect Themselves from a Cybersecurity Breach , «obawy o bezpieczeństwo IT przenikają kontrolę wewnętrzną nawet najmniejszych korporacji».
«Nowoczesne organizacje polegają na swoich systemach informatycznych w celu prowadzenia prawie całej działalności; każda słaba strona bezpieczeństwa informacji naraża całą organizację na niebezpieczeństwo», wynika z raportu. «Organizacje, w których doszło do naruszenia bezpieczeństwa, spotykają się nie tylko z wewnętrznymi zakłóceniami, ale mogą również podlegać karom rządowym, grzywnom przemysłowym, pozwom konsumenckim, a przede wszystkim naruszeniu reputacji». (Na przykład, cel musiał zapłacić 18,5 miliona dolarów, aby uregulować sprawy sądowe wniesione w 47 stanach i Dystrykcie Kolumbia, w których pod koniec 2013 roku znaleziono bazę danych.
Ale nie chodzi tylko o dolary, które trzeba wypłacić. W badaniu stwierdza się, że «kluczową kwestią dla organizacji jest awaria informatyczna, bez względu na to, jak niewielka, kompromitująca cały system i umożliwiająca hakerowi dostęp do oprogramowania aplikacyjnego i danych źródłowych».
Rzeczywiście, «wiele systemów i organizacji nadal jest zainfekowanych przez użytkowników klikających na załącznik do wiadomości e-mail lub przez użytkowników dzielących się hasłami», stwierdza się w badaniu. «Ostatnie badanie przeprowadzone przez Willis Towers Watson wykazało, że prawie 90 procent wszystkich naruszeń bezpieczeństwa cybernetycznego było spowodowanych przez jakiś rodzaj ludzkiego błędu lub zachowania.
Firmy każdej wielkości stale walczą w obronie przed hakerami na całym świecie, którzy zamierzają kraść tożsamość, informacje o kartach płatniczych i własność intelektualną oraz manipulować systemami firmy w celu generowania nieuczciwych płatności. Złoczyńcy ci mogą również przeniknąć do środowiska informatycznego firmy, aby skonfigurować fałszywych sprzedawców w systemie płatności, wysyłać faktury pocztą elektroniczną (z kont e-mail pracowników jako załączniki), a następnie zatwierdzać faktury pocztą elektroniczną – wykorzystując kodowanie kont z jeszcze innych kont e-mail pracowników».
Co więcej, oszuści mogą powielać procesy firmy, aby oszukać firmę w celu przekazania dużych płatności gotówkowych bezpośrednio do przestępców. «W tym rozwijającym się, wyrafinowanym środowisku hakerów, każdy system narażony na kontakt z Internetem lub innymi zewnętrznymi interfejsami musi być chroniony przed ingerencją cyfrową», jak wynika z raportu. «Właściwe bezpieczeństwo musi obejmować edukację użytkowników oraz stosowanie kontroli prewencyjnych, detektywistycznych i reaktywnych.»
Więc kim są ci hakerzy?
Raport Thomsona Reutersa opisuje je w ten sposób:
– «Czarne kapelusze» mają na celu kradzież informacji lub inne naruszenie bezpieczeństwa informacji podmiotów. Uzyskują one dane poprzez nielegalne narażanie na szwank zaniedbanych, źle zaprojektowanych lub niewystarczająco chronionych systemów. Często pojawiają się w wiadomościach, rozpowszechniają złośliwe oprogramowanie lub kradną informacje finansowe, dane osobowe i dane do logowania.
– «Białe kapelusze» chcą chronić bezpieczeństwo informacji podmiotów. Często są oni ekspertami w dziedzinie bezpieczeństwa technicznego i pracują nad znalezieniem słabych punktów bezpieczeństwa.
– «Szare kapelusze» hakują, które mogą naruszać prawo, ale nie są złośliwe.
– «Hakktiviści» to działacze społeczni, tacy jak Anonimowi, którzy włamują się na strony internetowe, aby rozwinąć społeczny, polityczny lub religijny kąt.
Hakerzy wykazali się biegłością w omijaniu systemów firmowych. Są w stanie uzyskać dostęp do systemów firmowych; często odbywa się to za pomocą poczty elektronicznej.
Hakerstwo nie jest szczególnie trudne do udaremnienia. Jak mówi raport, «Ludzie są swoimi najgorszymi wrogami i wielu z nich używa podobnych haseł, według Fortune.com.» Pod koniec 2017 roku, dwa najlepsze hasła wszechczasów to «hasło» i «123456».
Oto jak to działa, raport stwierdza: «Hakerzy identyfikują następnie liczbę nieudanych prób logowania się użytkownika, który zablokował konto oraz okres czasu na próby zablokowania. Ustawią swój program tak, aby zatrzymać się przy jednej próbie mniejszej niż blokada, poczekać na przydzielony czas i spróbować ponownie. Pojedynczy komputer będzie próbował tego jednocześnie na wielu kontach i wielu komputerach w tym samym czasie.
Na przykład, wiele firm używa pierwszej litery imienia pracowników oraz pierwszych siedmiu do dziesięciu znaków ich nazwisk, po których następuje nazwa domeny firmy. Wyobraź sobie tysiące komputerów próbujących jednocześnie zalogować się do tysięcy kont użytkowników za pomocą nazw użytkowników, które można łatwo odnaleźć lub wydedukować, na przykład poprzez wyszukiwanie w serwisie społecznościowym, takim jak LinkedIn , który podaje nazwiska prawdziwych osób i firm z nimi powiązanych. Takie ataki nazywane są zaawansowanymi trwałymi zagrożeniami (APT).
Więc jaka jest lekcja dla małych firm?
Oni «muszą zrozumieć, że APT-y grają w długą grę», stwierdza raport. «Celem jest zazwyczaj nie tylko jednorazowe włamanie się do systemu firmy i kradzież listy numerów kart kredytowych lub własności intelektualnej, ale osiągnięcie tego samego celu systematycznie i, być może, na zawsze».
Każda firma powinna udokumentować posiadane informacje, miejsce ich przechowywania i sposób ich ochrony. Informacje te obejmują:
– Adresy e-mail
– Nazwiska pracowników i ich dane osobowe, takie jak numery telefonów i adresy.
– Wszelkie dane osobowe, w tym listy klientów i historia zakupów klientów
– Osobiste informacje zdrowotne, które również podlegają przepisom prawa stanowego i federalnego
– Karta kredytowa, rachunek bankowy i inne informacje o płatności
– Własność intelektualna wszystkich rodzajów związanych z działalnością przedsiębiorstwa
– Informacje finansowe, handlowe i wszelkie inne informacje handlowe podlegające zasadom ujawniania informacji przez SEC
– Wszelkie inne dane, które są niepowtarzalne dla firmy, których ujawnienie mogłoby naruszyć jej przewagę konkurencyjną lub dać innej firmie lub krajowi niepowtarzalną wiedzę, której nie można uzyskać w inny sposób
