2023 Forfatter: Susan Creighton | [email protected]. Sidst ændret: 2023-05-24 11:14
Mens dataovertrædelser hos gigantiske detailhandlere som Target og TJ Maxx griber ind i lyset, er det lige så realistisk et scenarie for små virksomheder - og angrebene på dette niveau kan vise sig langt mere ødelæggende. Eksperter siger, at ejere af små virksomheder, der ikke gør beskyttelsen af kundernes personlige oplysninger til en højeste prioritet, snart kunne komme ud af drift.
"Jeg ved ikke, hvordan små og mellemstore virksomheder kan overleve noget af den størrelse, " siger Will Pelgrin, præsident og administrerende direktør for Center for Internet Security, til Business News Daily.
Jefff Kosc, en partner med advokatfirmaet Benesch, Friedlander, Coplan & Aronoff LLP, sagde virksomheder, der kompromitterer kundernes personlige data, såsom kreditkort og personnummer, står over for et væld af omkostninger, som ikke alle har en nøjagtig dollar vedhæftet beløb.
En af de største omkostninger kommer fra kredit- og betalingskortselskaberne, som Kosc sagde har store beføjelser og rettigheder i situationer med dataovertrædelse, især hvis det blev opdaget, at virksomheden ikke overholdt reglerne for betalingskortsektoren (PCI). PCI-regler regulerer de specifikke sikkerhedsforanstaltninger, der skal overholdes af virksomheder, der accepterer kredit- og betalingskort.
"Hvis der er et brud på PCI, har de rettigheder til at pålægge sælgere bøder, " sagde Kosc om kredit- og betalingskortselskaberne. "De har også i henhold til disse aftaler ret til at tilbageføre eventuelle svigagtige afgifter, der finder sted på nogens kort som følge af dataforbruddet."
Ud over at tilbagebetale kreditkortselskaberne pådrages virksomheder omkostninger i forbindelse med at advare forbrugerne om overtrædelsen, betale for deres kreditovervågningstjenester, undersøge hvordan overtrædelsen opstod og tage yderligere skridt for at sikre, at det ikke sker igen.
Nylig undersøgelse fra Ponemon Institute og Symantec anslår, at det koster virksomheder $ 188 pr. Tabt rekord.
Kosc sagde, at mange virksomheder i disse situationer også står over for et produktivitetstab, fordi medarbejderne er mere fokuserede på at rydde op i rodet, end de har det normale daglige ansvar.
"Du trækker alle væk fra deres almindelige jobopgaver for at håndtere en, " sagde han.
Afhængig af omfanget af overtrædelsen sagde Kosc, at virksomheder også står over for potentielle bøder fra Federal Trade Commission. Han pegede på TJ Maxx som et eksempel, som blev tvunget til at betale mere end 9 millioner dollars i bøder til mere end 40 forskellige advokater generelt efter overtrædelsen i 2007.
Ud over de hårde omkostninger lider virksomheder også potentielt uvurderlige skader på deres omdømme og tillid.
"Der er et samfund af mennesker, der har et betroet forhold til dig, og det kan bringes i fare, " sagde Pelgrin. "Hvordan du kommer dig efter alt dette, kan være meget vanskeligt."
[For en sammenligning sammenligning af de bedste antivirus-softwareprogrammer, kan du besøge vores søstersite Business.com.]
Beskyttelse af din virksomhed
Et problem er, at mange mener, at små virksomheder på grund af deres størrelse ikke er et mål for cyberkriminelle.
"Vi har en tendens til at tro, at det ikke sker med os, fordi vi er for små, og at de virkelig ser på de større (virksomheder), og det er ikke tilfældet, " sagde han. "Alle er under konstant angreb på dette tidspunkt."
Da cyberkriminelle er blevet så effektive i de senere år, sagde Pelgrin, at selv med de bedste sikkerhedsforanstaltninger på plads, er der ingen garantier for, at virksomhederne vil være sikre.
”Der er ikke en sølvkugle derude,” sagde Pelgrin. "Det bedste, du kan gøre, er at være så flittig og årvågen som muligt for at sikre, at du har gjort alt, hvad du kan for at være så sikker som du kan være."
For at beskytte forbrugerdata så meget som muligt råder Pelgrin virksomhederne til at tage flere skridt:
- Kend dit miljø: Det betyder, at du lager en fortegnelse over al den hardware og software, du har, samt hvilken version hver kører. For at beskytte dig selv skal du vide nøjagtigt, hvad du ejer. "Hvordan er dine aktiver, hvordan ser din infrastruktur ud, hvordan ser dit netværk ud?" Sagde Pelgrin. "Der kan være en kendt sårbarhed, og du tror måske ikke engang, at den er inden for din infrastruktur, og uvidende om dig, kan det være fuldstændigt aktiveret i hele din infrastruktur og derfor gøre dig meget sårbar over for et angreb."
- Sikre dit miljø: Bring din hardware, software og netværk op til det højeste sikkerhedsniveau. Pelgrin sagde, at når små virksomheder køber ny hardware og software, har de ikke altid de nyeste sikkerhedsforanstaltninger. Han sagde, at det er kritisk, at virksomheder kontrollerer hvert udstyr, og downloader alle de nyeste sikkerhedsrettelser. Derudover sagde han, at alle sikkerhedsindstillinger skulle vises så langt de kan være uden at hindre operationer.
- Kontroller dit miljø: Pelgrin sagde, at det er bydende nødvendigt, at virksomheder ikke giver alle deres ansatte total adgang til deres netværk og data. Han sagde, at medarbejderne ikke skulle have adgang til højere administrationsniveauer, så de har brug for, og at de ikke bør have tilladelse til at downloade noget, de ønsker, overalt, de ønsker. "De fleste af dine ansatte skal ikke have fuld administrativ adgang til deres maskiner, " sagde Pelgrin. "Denne administrative adgang bør begrænses til meget få betroede personer." Derudover ønsker virksomheder at sikre, at virksomheder og leverandører, de arbejder med, også har strenge sikkerhedsniveauer. Pelgrin sagde, at det er kritisk at have dokumentation fra de organisationer, du outsourcer dele af din virksomhed til, nøjagtigt hvilke sikkerhedsforanstaltninger de har på plads. "Det er nødvendigt at opfylde standarderne for, hvad du vil ansætte internt, " sagde han.
- Overvåg dit miljø: Dette involverer konstant selvdiagnosticering af systemer og netværk for at sikre, at de fungerer og fungerer, som de burde være. "Du behøver ikke at være cyberekspert for at vide, at der er noget galt, " sagde Pelgrin. "Din tarm er et godt første tegn på, at noget kan være galt, og så skal du nå ud til dem, der har ekspertise til at hjælpe med at diagnosticere, om du faktisk har været et offer for en cyberhændelse."
Pelgrin opfordrer også virksomheder til at afsætte tid hver måned til at uddanne medarbejdere om vigtigheden af cybersikkerhed, og hvordan de kan sikre sig, at de ikke bidrager til lækager.
"Du vil gøre det reelt for medarbejderne, og den eneste måde at gøre det på er at tale om det og øve det, " sagde han.
Kosc mener, at et vigtigt skridt i opretholdelsen er at have nogle i organisationen, hvis hovedansvar er sikkerhed.
”Det skal være noget, der er på en persons sind hver dag, for det er deres job,” sagde han.
Afbødning af skaden
Kosc sagde, at virksomhederne burde have en klar strategi for, hvordan man håndterer en overtrædelse, da mange eksperter mener, at det ikke er et spørgsmål om, hvis - men hvornår - en vil ske.
"Du vil have en plan på plads, før noget lignende sker, " sagde Kosc. "Så når en begivenhed sker, ved du, hvad du skal gøre, og hvordan du begrænser ansvaret så meget som muligt."
En del af denne plan er at vide, hvem man skal ringe til hjælp. Pelgrin sagde i krisetider, at du ikke ønsker at bruge tid på at finde ud af, hvem der kan hjælpe dig.
"Du vil have disse forhold foran og på plads, " sagde Pelgrin.
Forsikringsudbydere er en relativt ny kilde til hjælp til virksomheder. I løbet af de sidste flere år er mange begyndt at tilbyde forsikring af dataovertrædelser.
Lynn LaGram, assisterende vicepræsident for mindre kommerciel forsikring på The Hartford, sagde, at de har tilbudt forsikring af dataovertrædelse siden 2011, og deres dækning kommer i to dele.
Den første dækker svaromkostningerne og kan betale for ting som f.eks. At underrette kunder efter et brud, oprette kreditovervågning for udførte kunder, ansætte et PR-firma for at hjælpe med at reparere omdømmeskader og ansætte juridiske og retsmedicinske eksperter til at vurdere, om en overtrædelse gjorde forekommer, og hvor det kom fra.
LaGram sagde gennem The Hartford, at virksomheder kan få mellem $ 10.000 og $ 100, 00 svar svar dækning.
Den anden del dækker udgifter, som små virksomheder kan blive udsat for, hvis der er anlagt sag mod dem af forbrugere, der havde stjålet oplysninger.
"Dette dækker civile priser, forlig eller dommer, som ejeren af små virksomheder ville blive juridisk forpligtet til at betale som et resultat af et dataovertrædelse, " sagde LaGram.
Kosc sagde, at de fleste civile retssager, der er anlagt mod virksomheder, der mistede data, har været ineffektive på dette tidspunkt, fordi forbrugere i mange af disse situationer ikke kan bevise, at tyvene har brugt deres stjålne oplysninger på nogen måde.
”Der har ikke været mange indtil videre, der har været succesrige, fordi de skal være i stand til at vise en faktisk skade,” sagde Kosc. "Indtil du kan forsikre dig om, at en faktisk skade er lidt, kan (en domstol) ikke give dig erstatning."
Mens små virksomheder oprindeligt var langsomme med at vedtage dataforsikringsforsikring, sagde LaGram, at flere af dem - især i lyset af sidste års sager med høj profil - har tilføjet det til deres beskyttelsesarsenal.
"Dataovertrædelse er en af vores mest solgte valgfri dækning, " sagde hun.
Reparation af omdømme
For virksomheder at begynde at reparere deres omdømme og genopbygge tillid efter en dataforbrud, sagde Pelgrin, at det er bydende nødvendigt, at de er upfront med kunder, når det sker, uanset hvad statens love måtte diktere.
”Jeg er en stor tro på, at det ikke er, hvis dårlige ting sker, men hvordan du reagerer, når dårlige ting sker,” sagde han. "Det viser virksomhedens kvalitet, og det viser kvaliteten på de personer, der arbejder for denne virksomhed."
Pelgrin sagde, at den sidste ting, en virksomhed ønsker at skulle ske, er ordet om overtrædelsen for at komme ud seks måneder efter det skete, og få kunder til at tro, at de ikke gjorde noget ved det, fordi de ikke skulle.
”Så er du i stand til at forsøge at retfærdiggøre, hvorfor du holdt fast ved disse oplysninger,” sagde Pelgrin.
Nøglen er at advare kunderne så hurtigt som oplysningerne om overtrædelsen er konkrete.
"Du vil ikke sætte frygt i mennesker, " sagde Pelgrin. "Du er virkelig nødt til at vide, hvad der skete, så når du giver oplysningerne, er det meget klart, det er, hvad vi ved, det er, hvad der skete, og det er, hvad vi anbefaler, hvordan man afhjælper dem."
LaGram sagde, at små virksomheder skal forstå, at dette utvivlsomt kunne ske med dem.
