Czy twoja firma może pozwolić sobie na to, aby paść ofiarą incydentu naruszenia bezpieczeństwa IT?
Małe firmy mogą stanowić atrakcyjną zdobycz dla cyberprzestępców. W globalnej gospodarce małe i średnie przedsiębiorstwa (zatrudniające mniej niż 500 pracowników) generują łącznie biliony dolarów i zatrudniają miliony pracowników.
Co jednak z najmniejszymi firmami? Według szacunków IDC, na świecie istnieje około 80 milionów firm, które zatrudniają mniej niż 10 pracowników. Te „bardzo małe” firmy są często prowadzone w domu, a ich założyciel i prezes jest zwykle tą samą osobą, która zamawia papier do drukarki. Niezależnie od tego szacuje się, że w 2013 roku organizacje te będą obracały milionami, jeśli nie miliardami, dolarów.
Kolejny fakt dotyczący tych 80 milionów bardzo małych firm jest taki, że większość z nich nie posiada pracowników ani zasobów wyznaczonych do budowy infrastruktury IT. W wielu przypadkach ten sam pracownik, który zajmuje się zamawianiem papieru do drukarki, jest równocześnie odpowiedzialny za utrzymywanie komputerów i sieci, dzięki którym bardzo małe firmy mają łączność ze swoimi klientami.
Mimo mniejszego rozmiaru bardzo małe firmy i ich większe odpowiedniki posiadają pewne wspólne potrzeby, w szczególności potrzebę ochrony ważnych danych – np. dotyczących klientów i ich własnych informacji finansowych – podczas dokonywania transakcji bankowości online i realizacji zamówień klientów. Niestety, z większymi firmami łączy je również to, że mogą łatwo stać się ofiarą cyberprzestępczości.
Za małe, aby zostały zauważone?
Dwa – niestety błędne – założenia rozpowszechnione wśród małych firm, a zwłaszcza tych bardzo małych, brzmią;
· Moja mała firma jest bezpieczna, jeżeli chodzi o cyberprzestępców, którzy nie będą marnować czasu na atakowanie mnie.
· Moja mała firma nie posiada nic, co warto ukraść.
Wiele dowodów przeczy pierwszemu założeniu. Na przykład, raport „2013 Data Breach Investigations” firmy Verizon, który zawiera dane z globalnych dochodzeń kryminalistycznych, wskazuje, że na 621 przeanalizowanych incydentów naruszenia bezpieczeństwa danych 193 incydentów – ponad 30% – miało miejsce w firmach zatrudniających 100 lub mniej pracowników. Drugie założenie jest równie nieprawdziwe, ponieważ za każdym razem, gdy firma dokonuje sprzedaży online, niemal zawsze uzyskuje dostęp do prywatnych danych dotyczących klienta w tej czy innej formie, takich jak nazwisko, adres oraz numer karty płatniczej. Te podstawowe informacje z pewnością posiadają wartość dla cyberprzestępców, podobnie jak informacje finansowe małej firmy.
W rzeczywistości niektórzy cyberprzestępcy wolą atakować bardzo małe firmy, ponieważ podejrzewają, że wiele z nich nie posiada pełnej ochrony, a tym samym stanowi łatwy cel. Wszyscy przestępcy, również cybernetyczni, wybierają najsłabsze cele – ze względu na brak budżetu oraz niski poziom wiedzy personelu na temat bezpieczeństwa, bardzo małe firmy stanowią łatwy cel, a szanse na schwytanie złodziei są znacznie mniejsze.
Jakie są konsekwencje?
W przypadku firmy o niewielkim stażu wystarczy jeden incydent naruszenia bezpieczeństwa, aby popadła w ruinę finansową. Według badania „2013 Global Corporate IT Security Risks” (przeprowadzonego przez Kaspersky Lab oraz B2B International) średni globalny koszt incydentu naruszenia bezpieczeństwa w małej lub średniej firmie może wynosić nawet 36 000 dolarów. Kwota ta obejmuje średni koszt utraconych możliwości biznesowych, jak również koszty wynajęcia zewnętrznego eksperta IT w celu rozwiązania problemu i ewentualnego zakupu nowego sprzętu. W przypadku bardzo małej firmy pięciocyfrowa kwota wymagana na pokrycie kosztów incydentu naruszenia cyberbezpieczeństwa może stanowić poważny cios. Oprócz bezpośrednich kosztów incydent taki może również mieć bardziej trwały, niematerialny skutek – utratę zaufania klientów.
Cytat
„Jeżeli klient będzie zmuszony anulować kartę kredytową, ponieważ jego prywatne informacje zostały skradzione z jakiejś firmy, fakt ten spowoduje prawdopodobnie, że już nigdy niczego nie kupi w tej firmie” – tłumaczy Mark Bermingham, dyrektor Globalnego Marketingu Produktu, Kaspersky Lab. „W przypadku bardzo małych firm, które oferują usługi obejmujące informacje poufne, np. dokumenty podatkowe w przypadku firm świadczących usługi finansowe, klient może w takiej sytuacji zaskarżyć kontrahenta. Ponadto, wiele firm posiada prawny obowiązek zgłoszenia pewnych przypadków naruszenia bezpieczeństwa danych. Jeżeli ich praktyki w zakresie bezpieczeństwa zostaną uznane jako niespełniające minimalnych wymogów wynikających z przepisów branżowych, firma może zostać obciążona surowymi karami”.
Co zatem powinny zrobić bardzo małe firmy, aby należycie się zabezpieczyć? Eksperci z Kaspersky Lab przygotowali trzy proste wskazówki:
1. Zrozum, że żadna firma nie jest „zbyt mała, aby została zauważona” przez przestępców – nawet małe firmy posiadają własność intelektualną, konta bankowe i – w większości przypadków – dane dotyczące klientów.
2. Postaw na prostotę – małe firmy powinny wybierać oprogramowanie bezpieczeństwa przeznaczone dla małych i średnich firm lub producentów, którzy cieszą się reputacją dostawców intuicyjnego, wszechstronnego oprogramowania bezpieczeństwa, aby uniknąć pułapki płacenia zbyt wysokiej ceny za coś, czego obsługa będzie dla nich wyzwaniem.
3. Kluczowe obszary inwestycji – po zainwestowaniu w podstawową ochronę antywirusową należy rozważyć stosowanie technologii szyfrowania. Szyfrowanie danych ma istotne znaczenie dla każdej firmy, która przetwarza i przechowuje informacje klientów dotyczące płatności, i często stanowi wymóg prawny. W przypadku kradzieży lub utraty zaszyfrowanych danych przestępcy nie będą w stanie uzyskać dostępu do przechwyconych informacji, dzięki czemu dane firmy i klientów będą bezpieczne.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.