Проактивний захист будь-яких компаній – від малого й середнього бізнесу до великих підприємств!

#KingstonCognate представляє професорку Саллі Івз

Професорка Саллі Івз – голова компанії Cyber Trust і старша радниця Міжнародного фонду кібердосліджень. Її називають світилом технічної етики; вона є переможницею премії ООН «Передові технології та їх вплив на людей». Колишній технічний директор, а зараз професор передових технологій і стратегічний радник з питань новітніх технологій, Саллі є лауреаткою низки премій, авторкою міжнародних публікацій, видатною спікеркою та авторитетною експерткою у сфері цифрової трансформації (штучний інтелект, 5G, хмарні технології, блокчейн, кібербезпека, керування, Інтернет речей, наука про дані), а також у сфері культури, навичок, різноманіття та рівності, сталого розвитку й соціального впливу.

Саллі активно веде просвітницьку та навчальну діяльність для підтримки нового покоління технічних талантів, а також заснувала Aspirational Futures для сприяння інтеграції, різноманіттю та рівності у сфері освіти та технологій, а її книга «Технології на благо людства» вже готується до випуску. Авторитет Саллі у сфері технологій було визнано провідними організаціями, як-от Onalytica, і вона стабільно входить у топ-10 міжнародних експертів із низки дисциплін – від штучного інтелекту до 5G та сталого розвитку.

Кібербезпека: складові ризику

1. Зростання економіки кіберзлочинності й послуг кіберзлочинців, особливо пов’язаних із зловмисними програмами з вимогою викупу і фішингом
2. Зростання загроз, з якими стикаються держави: зловмисники збільшують обсяги та масштаб атак, щоб уникнути їх виявлення
3. Інноваційна діяльність і еволюція Інтернету речей і операційних технологій призводить до збільшення зони загроз для безпеки
4. Швидкий розвиток моделей розподіленої та гібридної робочої сили змінює природу ризику, починаючи з інструментів, які ми використовуємо, і закінчуючи тим, як ми виконуємо свою роботу
5. Збільшення обсягів дезінформації, помилкової та шкідливої інформації, що впливає на переконливість і психологічну дію кіберзагроз, а також на їх ефективність.

Малий і середній бізнес особливо постраждав від зростання кількості кібератак, особливо пов’язаних із зловмисними програмами з вимогою викупу і фішингом. Згідно з новими дослідженнями, близько 43% кібератак¹ спрямовано на малі підприємства (Verizon 2022). Візьмемо як приклад Великобританію: нещодавно в річному звіті Національного центру кібербезпеки за 2021 рік² було оголошено, що зловмисні програми з вимогою викупу залишаються найсерйознішою кіберзагрозою, з якою сьогодні стикається Великобританія. Оскільки на цю галузь припадає більш ніж 99% підприємств³ у Великобританії та США (SBA 2021), колективний внесок у світове економічне зростання виходить на перший план разом із ризиком, що впливає на ланцюги постачань. Водночас малий і середній бізнес стає більш привабливою точкою входу в ширші екосистеми підприємств.

Детальніше вивчення ризику показало⁴ що 85% малих і середніх підприємств вважають зловмисні програми з вимогою викупу найбільшою загрозою для малого бізнесу. Оскільки протокол віддаленого робочого столу (RDP) є найпоширенішим вектором атак такого типу, збільшення кількості співробітників малого й середнього бізнесу, розвиток моделей віддаленої та гібридної роботи, а також поширення політики «Принеси свій власний пристрій» на робочому місці породжує нові виклики. Їх безліч: від розширення зони загроз до ризиків самозаспокоєння й відмови від звичок, пов’язаних із практиками безпеки, і постійної зміни робочої логістики. Додайте сюди також неправильне уявлення малих і середніх підприємств про доступні рівні підтримки, великі бюджетні обмеження, зменшення ресурсів і відсутність власних спеціальних технічних навичок – усе це робить компанії надто привабливими для зловмисників. Згадуючи вплив галузі на місцеву й глобальну економіку, неспівставні операційні, фінансові та репутаційні наслідки можуть стати предметом серйозної занепокоєності.

Але це ще не все! По-перше, малі й середні підприємства можуть бути гнучкішими до змін і впровадження нових підходів в силу своєї природи та завдяки своїй інфраструктурі. Зазвичай вони менш схильні до використання застарілих технологій або тривалих циклів ухвалення рішень. Крім того, малі й середні підприємства можуть багато що зробити вже сьогодні, щоб покращити свою кібербезпеку в майбутньому. Настав час вийти за рамки загальноприйнятих уявлень про те, що впровадити ефективну систему безпеки занадто складно, трудомістко або дорого, або, навпаки, що можна придбати щось подібне до «моделі з нульовою довірою» та вирішити всі проблеми – так не буває, бо це постійна подорож, а не кінцевий пункт призначення.

Отже, що може зробити малий і середній бізнес, щоб змінити уявлення про безпеку та покращити рівень захисту від кіберзагроз? По-перше, з огляду на деякі доступні можливості навчання та підвищення обізнаності, Національний центр кібербезпеки⁵ є гарним початком для отримання безкоштовних актуальних ресурсів. Це вкрай важливо, якщо ми беремо до уваги результати дослідження⁶, згідно з якими малі підприємства не звертаються до авторитетних джерел, а під час використання загального пошуку часто переобтяжені безліччю порад в Інтернеті, не маючи можливості оцінити інформацію або розставити пріоритети. Тому навчання ваших співробітників і доступність допоміжних документів є обов’язковою умовою. Сила партнерства також відіграє ключову роль: навіть великі підприємства зазвичай користуються послугами сторонніх постачальників, що спеціалізуються на засобах забезпечення кібербезпеки, тренінгах і передових практиках. Організації будь-якого розміру можуть знайти багато інструментів підтримки відповідно до своїх потреб. Взаємодія організацій заради спільного блага та відкритий обмін передовим досвідом – це найкращий спосіб звести нанівець всі зусилля зловмисників!

Кіберзлочинці постійно вдосконалюють свої методи атак, підвищуючи їх ефективність і об’єднуючись у злочинні групи, що використовують більш складні та професійні тактики. Ми маємо діяти так само, як і галузь, організації та окремі користувачі – для цього необхідно зосередитися на технологіях, культурі, процесах і навичках.

Зробіть все правильно: технології і процеси

Як я вже згадувала у Twitter-чаті Kingston Cognate (@kingstontechbiz), приблизно 98% кібератак можна звести нанівець за допомогою належних практик «кібергігієни». Нижче наведено деякі рекомендації щодо використання технологій і процесів для досягнення основної мети:

1. Завжди регулярно створюйте резервні копії даних і перевіряйте їх!
2. Розгляньте гібридні хмарні рішення з позиції підходу, що спирається як на технології, так і партнерство
3. Стежте за появою актуальних виправлень для обладнання, мобільних пристроїв, програм і операційних систем – під час пандемії частота випуску подібних виправлень зменшилась
4. Використовуйте паролі правильно та налаштуйте двофакторну автентифікацію (2FA) скрізь, де можливо
5. Уникайте використання загальнодоступних мереж Wi-Fi
6. Використовуйте VPN (віртуальні приватні мережі) й програмні рішення для запобігання втраті даних, зокрема інструменти виявлення та реагування на кінцевих точках, брандмауери та антивіруси
7. Використовуйте гнучкі підходи до керування змінами, наприклад практики безперервної інтеграції та безперервного розгортання (CI/CD), щоб регулярно вносити невеликі зміни, зменшуючи ризик.
8. Використайте сховища з апаратним шифруванням даних, як-от зовнішні SSD- і USB-накопичувачі
9. Відстежуйте, блокуйте або стирайте вкрадені або втрачені пристрої.

Зокрема, пристрої з апаратним шифруванням (наприклад, зовнішні SSD- і USB-накопичувачі) є високорентабельним рішенням для забезпечення оперативного захисту від втрати даних, що ідеально підходить для різних галузей і організацій будь-якого розміру. Роб Аллен, директор із маркетингу й надання технічних послуг у компанії Kingston Technology Europe, пояснює:

Ми пропонуємо USB-накопичувачі з шифруванням для урядових, оборонних і розвідувальних установ, галузей фінтеху й охорони здоров’я, малого й середнього бізнесу та сегмента SOHO (малого/домашнього офісу)... Але, що мене дійсно вразило й порадувало, – це зовнішній SSD-накопичувач із сенсорним екраном для введення PIN-коду або пароля, що стало приємним доповненням до наших звичайних рішень.

Крім того, чудова крманда «Запитай експерта» компанії Kingston Technology може надати індивідуальну консультацію щодо потенційних переваг з урахуванням специфіки конкретного середовища для зберігання даних і потреб вашої організації. Запити спрямовуватимуться безпосередньо в групу технічних ресурсів, а клієнтам центрів обробки даних, корпоративним користувачам, малим і середнім підприємствам буде надано доступ до численних і безкоштовних матеріалів. Крім того, ви зможете отримати додаткову підтримку у блозі про захист даних, де ви знайдете 12 найкращих порад для малих і середніх підприємств щодо підвищення кібербезпеки.