Małe firmy i ich cyberbezpieczeństwo. Największe ryzyka.

[Muchomorek]

 Często są najprostsze do naprawy?

 Kiedy mówi się o cyberatakach, większość osób wyobraża sobie ransomware, exploity albo grupy APT atakujące wielkie korporacje. Tymczasem w przypadku małych firm problem bardzo często wygląda zupełnie inaczej. Największe zagrożenia bywają bardzo proste, ale właśnie za tym idzie ich skuteczność.

Wiele zagrożeń dla małych biznesów nie wynika z zaawansowanych technik ataku, ale z codziennych nawyków i błędnych założeń dotyczących bezpieczeństwa.
Główny problem – mieszanie życia prywatnego z firmowym

To jeden z tych problemów, które praktycznie nie istnieją w dużych organizacjach, ale są bardzo częste w małych firmach.

Prywatny telefon zaczyna służyć do pracy. Firmowe dokumenty trafiają na osobisty Google Drive albo iCloud. Faktury, umowy i dane klientów lądują obok rodzinnych zdjęć i prywatnych wiadomości.

Na pierwszy rzut oka wydaje się to wygodne. Problem pojawia się dopiero, gdy takie konto jest współdzielone z innymi domownikami lub zostaje przejęte. Wtedy nagle okazuje się, że dostęp do danych biznesowych miał znacznie większy krąg osób, niż zakładano.

To bardzo częsty scenariusz w małych firmach, gdzie ,,improwizowana infrastruktura" rośnie razem z biznesem. Problem w tym, że bezpieczeństwo zwykle za tym nie nadąża.

Pandemia mocno zmieniła sposób pracy, ale wiele firm nadal traktuje home office jako wyjątek, a nie element infrastruktury.

Tymczasem laptop używany do pracy często trafia w ręce dzieci, partnerów albo jest stale włączony i pozostawiany bez nadzoru. Jeden przypadkowy klik w fałszywą reklamę albo pobranie podejrzanego pliku może wystarczyć do kompromitacji urządzenia.

I właśnie tutaj pojawia się problem, który wielu właścicieli firm ignoruje: insider threat nie zawsze musi być złośliwy. Czasami wystarczy zwykły błąd użytkownika.

Atakujący bardzo dobrze rozumieją specyfikę małych biznesów. Nie potrzebują skomplikowanych exploitów, jeśli mogą wykorzystać słabe zabezpieczenia urządzeń pracujących poza firmową siecią.
Dane podatkowe i dokumenty firmowe są bardziej wartościowe, niż myślisz

Jednym z ciekawszych dotyczących małych biznesów wątków poruszonych przez Malwarebytes jest kwestia wykorzystywania prywatnych numerów identyfikacyjnych w dokumentacji biznesowej. W środowisku amerykańskim chodzi o SSN, ale sam problem jest znacznie szerszy.

Im więcej danych właściciel firmy rozsyła między klientami, księgowością i kontrahentami, tym większa staje się powierzchnia potencjalnego wycieku. W praktyce oznacza to, że dane identyfikacyjne biznesu zaczynają krążyć po skrzynkach mailowych, dyskach i chmurach wielu różnych podmiotów.

Dla cyberprzestępców takie informacje są bardzo cenne. Mogą zostać wykorzystane do podszywania się pod firmę, otwierania linii kredytowych, oszustw podatkowych albo bardziej zaawansowanych kampanii socjotechnicznych. I właśnie dlatego małe firmy coraz częściej stają się celem – nie dlatego, że mają duże zasoby, ale dlatego, że ich struktura jest płaska i prosta.
Największy mit małych firm? ,,Jesteśmy za mali, żeby ktoś nas atakował"

To prawdopodobnie najbardziej niebezpieczne założenie w całym sektorze małych firm.

W praktyce większość współczesnych ataków jest zautomatyzowana. Boty nie sprawdzają, czy firma ma 5 czy 5000 pracowników. Skanują Internet w poszukiwaniu słabych haseł, podatnych usług, źle skonfigurowanych chmur i kont bez MFA.

Jeśli coś wygląda na podatne – staje się celem.

To właśnie dlatego małe firmy tak często padają ofiarą ransomware albo phishingu. Nie dlatego, że są dla przestępców ważne, ale dlatego, że są dostępne.
Problemem rzadko jest brak narzędzi

Co w tym wszystkim najciekawsze, wiele podstawowych zabezpieczeń jest dziś łatwo dostępnych. MFA, automatyczne aktualizacje, backupy czy podstawowa segmentacja dostępu nie wymagają ogromnego budżetu.

Problem polega raczej na tym, że bezpieczeństwo w małych firmach często rozwija się reaktywnie. Dopóki nic się nie wydarzy, temat schodzi na dalszy plan.

A kiedy już dochodzi do incydentu, zwykle okazuje się, że backup nigdy nie był testowany, wszyscy mieli uprawnienia administratora, a firmowy mail był zabezpieczony 8-znakowym hasłem.
Jak realnie ograniczyć ryzyko

Najważniejsze jest oddzielenie środowiska prywatnego od firmowego. Nawet w małej działalności warto mieć osobne konta, osobną przestrzeń do przechowywania dokumentów i jasno określony dostęp do danych.

Drugim kluczowym elementem jest MFA. To nadal jedna z najskuteczniejszych i najtańszych metod ograniczania skutków phishingu i przejęcia haseł. Bardzo podobny wniosek regularnie pojawia się zarówno w raportach branżowych, jak i w dyskusjach praktyków bezpieczeństwa.

Ogromne znaczenie ma też aktualizacja urządzeń i ograniczanie lokalnych uprawnień administratora. Wiele ataków nie wymaga dziś zaawansowanych exploitów – wystarczy wykorzystanie znanego starego błędu albo źle zabezpieczonego konta.

Największe zagrożenia dla małych firm często nie wyglądają jak korporacyjne cyberbezpieczeństwo, które znamy. To właśnie dlatego bywają tak groźne.

Prywatne chmury wykorzystywane do pracy, współdzielone urządzenia, brak separacji danych czy przeświadczenie, że ,,nikogo nie interesujemy" – to problemy, które regularnie prowadzą do realnych incydentów.

żródło  Nie masz uprawnień do wyświetlania linków. Zarejestruj się lub Zaloguj

You cannot view this attachment.