Hoe kleine bedrijven (gemakkelijk) aan de top kunnen blijven.

Een afbeelding van , Cyber ​​Security, Hoe kleine bedrijven (gemakkelijk) aan de top kunnen blijven.

Hoewel er veel aandacht wordt besteed aan grote cyberaanvallen tegen bedrijven – denk aan Wonga, Talk Talk en Tesco – zijn kleine bedrijven net zo vatbaar voor cybercriminaliteit. Volgens een studie van de Britse overheid meldde bijna de helft (48%) van de kleine bedrijven in de afgelopen twaalf maanden te zijn getroffen door een cyberinbreuk of -aanval. Tegelijkertijd blijkt uit onderzoek van de Federatie van Kleine Bedrijven (FSB) dat 65% van het MKB niet voorbereid is op dergelijke aanvallen.

Wat kleine bedrijven kwetsbaar maakt, is hun gebrek aan infrastructuur en middelen, vooral in vergelijking met die welke grote bedrijven kunnen besteden aan IT-beveiliging. Dat gezegd hebbende, zijn er enkele eenvoudige maar krachtige stappen die kleine bedrijven kunnen nemen om zichzelf te beschermen tegen een steeds groter wordend aanvalsoppervlak. Maar eerst een korte blik op de uitdagingen waarmee kleine bedrijven worden geconfronteerd.

De unieke dreiging waarmee kleine bedrijven worden geconfronteerd

Zoals hierboven vermeld, zijn kleine bedrijven bijzonder kwetsbaar voor cybercriminaliteit vanwege beperkte IT-beveiligingsuitgaven en personeelsbeperkingen. Deze afhaalmaaltijd met gezond verstand komt tot uiting in de gegevens. Volgens een recent rapport van het Amerikaanse IT-beveiligingsbedrijf Barracuda Networks krijgt een gemiddelde werknemer van een klein bedrijf met minder dan 100 werknemers 350% meer social engineering-aanvallen dan de gemiddelde werknemer van een grote onderneming. Bij het proberen mensen te misleiden om gegevens vrij te geven die materieel of sociaal nuttig kunnen zijn (creditcardgegevens, bankgegevens, paspoortnummers), weten social engineering-georiënteerde cybercriminelen waarschijnlijk dat de hardware en software die bedrijven beschermen niet altijd financieel toegankelijk is voor kleine bedrijven . Voorbeeld: hoewel cybercriminaliteit toeneemt, meldde Hiscox UK in zijn Cyber ​​Readiness Report 2022 dat de totale IT-uitgaven van kleine bedrijven zijn gedaald – misschien een slachtoffer van door pandemie veroorzaakte financiële druk, waaronder wereldwijde marktschommelingen en problemen met de toeleveringsketen.

Strategieën voor het minimaliseren van gegevensbeveiligingsrisico's

In hetzelfde Hiscox-rapport zei een op de vijf respondenten dat ze 'het risico liepen failliet te gaan vanwege een cyberincident'. Hoewel het gemakkelijk is om je ontmoedigd te voelen door deze statistiek - en de groeiende financiële en veiligheidsgerelateerde druk waarmee kleine bedrijven te kampen hebben - zijn er enkele eenvoudige en ongecompliceerde best practices voor beveiliging die kleine bedrijven onmiddellijk kunnen implementeren om de risico's voor hun bedrijfsresultaten te minimaliseren.

De moeren en bouten: 2FA en sterke wachtwoorden

Om te beginnen kunnen kleine bedrijven hun apparaten beschermen door altijd de apparaatsoftware bij te werken naar de nieuwste versie, browsers en besturingssystemen bij te werken en betrouwbare antivirussoftware (AV) te installeren. Ze kunnen de apparaatbeveiliging verder versterken met tweefactorauthenticatie (2FA), een technologische benadering waarbij gebruikers twee afzonderlijke methoden moeten gebruiken om hun identiteit te verifiëren om toegang te krijgen tot een account. Een bruikbare definitie voor 2FA is dat inloggen op een service iets inhoudt dat je weet, zoals een wachtwoord, en iets dat je hebt, zoals je telefoon, hardwaretoken of andere authenticatiecode. Volgens een onderzoek van het Cyber ​​Readiness Institute heeft 54% van de kleine bedrijven geen multi-factor authenticatie ingesteld (een andere manier om naar 2FA te verwijzen en de meest gebruikelijke manier om het proces te beschrijven, verder dan het gebruik van één stap om in te loggen op een account ). Dit is een nogal sombere vertoning als je bedenkt dat 2FA de beste strategie is om risico's te bestrijden die samenhangen met gecompromitteerde wachtwoorden. Nu we het toch over wachtwoorden hebben, over het creëren van sterke en unieke wachtwoorden valt niet te onderhandelen. Wachtwoorden zijn de eerste verdedigingslinie voor gegevens. Ze mogen niet gemakkelijk te raden zijn en mogen niet op verschillende sites worden hergebruikt. Hoewel hergebruik van wachtwoorden verleidelijk is – de meeste mensen vertrouwen op geheugen om hun wachtwoorden te ‘beheren’, waardoor hergebruik gebruikelijk is – maakt het gegevens nog kwetsbaarder.

De beste en meest eenvoudige strategie voor het beheren van wachtwoorden is het gebruik van een wachtwoordbeheerder. Met wachtwoordmanagers kunnen gebruikers nieuwe, unieke wachtwoorden genereren die vervolgens worden opgeslagen in een virtuele kluis. Wanneer een gebruiker een site bezoekt of een app opent die gekoppeld is aan de wachtwoordmanager, vult de wachtwoordmanager automatisch de inlognaam en het wachtwoord van de gebruiker in.

De meeste wachtwoordmanagers zijn intuïtief en ontworpen om met weinig verstoring te worden geïntegreerd in bestaande workflows. Ze hebben ook heel weinig training nodig. Kortom, ze bieden veel waar voor hun geld, vooral als je bedenkt dat er een aantal goede, betaalbare zakelijke wachtwoordmanagers op de markt zijn. Uiteindelijk besparen wachtwoordmanagers organisaties op de lange termijn tijd, geld en gemoedsrust.

Weten wanneer je nog een keer moet kijken

Het is ook erg handig om te weten hoe u phishing-bedreigingen kunt afweren. Phishing verwijst naar de psychologische strategieën die oplichters gebruiken om mensen te manipuleren om op gecompromitteerde links te klikken of gevoelige informatie vrij te geven. Het kan worden gedaan door middel van e-mails, telefoontjes en sms'en en valt onder de eerder genoemde 'social engineering'-paraplu.

Er zijn een paar eenvoudige stappen om je te beschermen tegen phishing-aanvallen. Om te beginnen moeten werknemers van kleine bedrijven controleren of e-mails die ze ontvangen er legitiem uitzien en van een goede instelling afkomstig zijn. Ze moeten de muisaanwijzer op links plaatsen om te bevestigen dat ze naar de juiste website gaan en vermijden op links te klikken waarvan ze niet zeker zijn – in ieder geval totdat dit door verder onderzoek is bevestigd. Als alternatief kunnen ze rechtstreeks inloggen op het betreffende account om de waarheidsgetrouwheid te bevestigen. Ze moeten ook voorkomen dat ze bijlagen openen van mensen die ze niet kennen – of onverwachte bijlagen van mensen die ze wel kennen zonder eerst te controleren. Wachtwoordbeheerders zelf helpen ook om phishing-aanvallen te verminderen.

Geen van deze aanbevelingen omvat het kopen van technologieën die de bank kapot maken of het opzij zetten van een slush-fonds voor cyberverzekeringen. Ze hoeven niet AI, machine learning, dreigingsteams of het inhuren van een Chief Security Officer. Een klein beetje inspanning vooraf (de tijd nemen voor systeemupdates, het implementeren van 2FA/MFA en een bedrijfsbrede wachtwoordbeheerder, en bewustzijn van risico's) zal zijn vruchten afwerpen
in dividenden.