10월은 국토 안보부에서 국가 사이버 보안 인식의 달로 지정되었습니다. 그리고 귀하의 비즈니스가 사이버 보안에 대해 걱정하기에는 너무 작다고 생각할 수도 있지만, 그것은 잘못된 생각입니다.
저는 최근에 University of Phoenix의 수석 사이버 보안 교수이자 Trace3의 수석 보안 컨설턴트인 Stephanie Benoit-Kurtz와 소기업 소유자가 사이버 공격으로부터 회사를 가장 잘 보호할 수 있는 방법에 대해 이야기했습니다.
많은 소기업 소유주와 신생 기업은 자신의 비즈니스가 너무 작아서 사이버 범죄자가 해킹을 시도하지 못할 것이라고 생각합니다. 나는 그것이 틀렸다는 것을 안다. 중소기업이 직면한 위험은 무엇입니까?
스테파니 베누아-커츠: 소규모 기업은 여러 가지 이유로 표적이 됩니다. 악의적인 행위자는 사건에 대응하거나 예방할 대규모 IT 팀이나 시스템이 없을 수 있음을 알고 있습니다. FBI에 따르면 사이버 범죄로 인해 기업은 2020년에 27억 달러 이상의 비용을 지출했습니다. 791,000건 이상의 불만이 제기되면서 악의적인 행위자들은 노력을 통해 수익을 창출할 수 있는 곳으로 가고 있습니다.
소기업이 주의해야 하는 사이버 보안 위험은 무엇입니까?
베누아-쿠르츠: 크고 작은 조직이 공격을 받으면서 SMB 공격의 빈도가 증가하여 이제 더 큰 조직과의 격차를 좁히고 있습니다. Verizon에 따르면 DBIR 보고서에서 , 소규모 조직의 침해 사고 빈도가 해마다 증가했습니다. 시스템 침입은 여전히 사고의 주요 원인 중 하나입니다. 이것은 악의적인 행위자가 데이터와 시스템에 액세스할 수 있는 때입니다.
중소 기업에 가장 흔한 사이버 위협은 무엇입니까? 가상/원격 비즈니스를 운영하는 경우 차이점이 있습니까?
베누아-쿠르츠: 이메일 및 사회 공학 사기는 계속해서 모든 기업에 피해를 주고 있습니다. PWC는 여러 금융 기관에서 피싱 시뮬레이션을 실행했으며 이메일의 70%가 7%의 최종 사용자 클릭률로 전달되었습니다. 클릭 한 번이면 조직을 악의적인 행위자에게 노출시킬 수 있습니다. 수많은 페이로드가 여전히 이메일을 통해 전달됩니다. CISA에는 피싱 및 소셜 엔지니어링의 피해자가 되지 않는 방법에 대한 몇 가지 유용한 팁이 있습니다.
이러한 문제는 가상 또는 원격 비즈니스와 현장 비즈니스 간에 크게 다르지 않습니다. 조직은 사고를 줄이기 위해 정기적인 피싱 및 사회 공학 교육을 제공해야 합니다. 여러 전문가들은 직원들이 피싱 및 사회 공학 상황을 식별하도록 교육하는 조직을 통해 약 70%의 위험을 줄일 수 있다고 말합니다. 이 문제는 COVID-19 전염병 동안 기하급수적으로 증가했습니다. 2020 피싱 및 사기 보고서 , F5는 팬데믹 기간 동안 피싱 공격이 220% 증가했다고 보고했습니다.
최선의 방어는 좋은 공격이며 중소기업은 직원 피싱 및 사회 공학 교육에 투자해야 합니다. 이 서비스는 비교적 저렴하며 소규모 기업을 위한 추가 보호 계층을 제공할 수 있습니다.
권장하는 비밀번호 정책이 있습니까?
베누아-쿠르츠: 다른 주요 위협은 자격 증명 도용입니다. 로그인 및 비밀번호는 안전하지 않은 연결을 통해 또는 침해된 이전 조직에서 사용되었기 때문에 노출됩니다. 귀하의 모든 소셜 미디어, 개인 이메일, 기타 로그인 및 비밀번호가 어딘가의 위반으로 공개되었다고 가정합니다. 직장 계정의 경우 로그인이나 비밀번호를 재사용하지 마십시오.
조직이 침해를 당하면 해커가 목록을 구매한 다음 스피어피싱 유형의 접근 방식으로 피해자를 찾는 Darkweb에서 로그인 및 비밀번호가 판매되는 경우가 많습니다. 두 번째 권장 사항은 비밀번호를 조금 더 복잡하게 만드는 것입니다. 예를 들어, 자녀나 애완동물의 이름을 사용하지 말고 특수 문자와 숫자가 포함된 암호를 사용하십시오. 때때로 직원은 암호 피로로 고통받습니다. 비밀번호 보관소가 더 나은 솔루션일 수 있습니다. 이렇게 하면 고유한 암호가 생성되고 직원에게 계정 관리에 도움이 되는 도구가 제공됩니다. PC 매거진 '2021년 최고의 비밀번호 관리자'에 대한 훌륭한 글을 게시하여 다양한 솔루션의 이점을 분류했습니다.
베누아-쿠르츠: 직원이 커피숍, 공항 호텔 객실 등에서 일하는 경우 데이터를 어떻게 안전하게 보호하나요?
커피숍, 호텔, 레스토랑, 공항의 무료 네트워크는 안전하지 않습니다. 이러한 편리하고 연결하기 쉬운 서비스는 관리되지 않으며 순진한 사용자를 노리는 해커를 공격합니다. 호텔 객실 번호나 어떤 유형의 암호를 입력해야 하는 경우에도 개인 및 회사 데이터가 위험에 처할 수 있는 보호되지 않은 네트워크일 수 있습니다. 직원들에게 안전한 네트워크 액세스를 허용하는 휴대폰이나 핫스팟에 대한 데이터 요금제를 제공하는 방법을 살펴보십시오. 여기에서 컴퓨터를 휴대폰이나 기타 LTE 장치에 대한 보안 네트워크 연결에 연결합니다. 이러한 유형의 연결은 공동 작업이 필요한 팀에서도 작동합니다. 컴퓨터 세계, '스마트폰을 모바일 핫스팟으로 사용하는 방법' 문서에서 이 간단한 방법이 중소기업의 보안 태세를 개선하는 방법에 대해 자세히 설명합니다.
VPN이란 무엇이며 중소기업은 VPN을 어떻게 설정하나요?
베누아-쿠르츠: 재택 근무 또는 원격 근무 중에 공용 액세스 인터넷을 사용해야 하는 경우 VPN(가상 사설망)은 추가 보안 계층을 만들기 위한 훌륭한 솔루션입니다. VPN을 사탕 한 조각을 감싸는 포장지로 생각하십시오. 래퍼는 캔디를 내부에 유지하고 다른 오염 물질을 차단합니다. VPN 소프트웨어는 인터넷 연결 주변에 암호화 보호 기능을 제공하여 해커가 통신을 가로채는 것을 훨씬 더 어렵게 만듭니다. 또한 소프트웨어/서비스가 상대적으로 저렴하며 소규모 기업은 자체 VPN을 구축할 필요가 없습니다. 대신, 그들은 막대한 비용 없이 보안을 제공하는 제품을 시장에서 소싱할 수 있습니다.
직원들이 이 가이드라인을 따르도록 하려면 어떻게 해야 하나요?
베누아-쿠르츠: 견고한 보안 프로그램의 일부에는 인식 교육, 도구 및 사용 메트릭이 포함됩니다. 중소기업은 조심해야 합니다. 구성 관리를 구현하여 직원의 컴퓨터에 엔드포인트 보호를 적용할 수 있습니다. VPN 클라이언트는 원격에 있고 임의의 네트워크에 대한 연결을 허용하지 않을 때 사용해야 합니다. 또한 직원들에게 규정 준수를 위해 기프트 카드와 회사 기념품을 제공하는 등 재미있게 만들 수 있습니다. 노력하는 사용자를 인정합니다.
위반으로 인한 비용은 얼마인가요?
베누아-쿠르츠: 간단히 말해서, 위반은 비용이 많이 듭니다. 중소기업으로서 고객의 평판과 신뢰가 위험에 처할 수 있습니다. Small Business Trends는 소규모 비즈니스 침해의 평균 비용이 $25,000라고 추정합니다. IBM은 연례 데이터 유출 비용 보고서에서 , 지난 2년 동안 이러한 비용이 10% 이상 증가했다고 합니다. 그러나 그 비용에는 고객이 경쟁을 위해 떠날 때 고객 신뢰 상실 및 이와 관련된 비즈니스 손실은 포함되지 않습니다.
중소기업을 사이버 보안으로 만드는 데 비용이 많이 듭니까?
베누아-쿠르츠: 아니요, 강력한 사이버 보안 보호 기능을 갖추는 데 비용이 많이 들 필요는 없습니다. 침대 위의 담요와 같다고 생각하십시오. 사이버 보안은 사용자를 보호하는 다양한 기술 및 프로세스 계층을 제공합니다. 교육, VPN 소프트웨어, 엔드포인트 보호 및 핫스팟은 모두 위험을 크게 줄이고 대규모 IT 직원 없이 구현할 수 있습니다. 소규모 기업으로서 귀하의 예산 내에서 작동하는 솔루션과 확장을 지원하는 보안 파트너를 찾으십시오.
소규모 기업의 보안 여정을 지원하는 훌륭한 리소스가 많이 있습니다. SBA는 수많은 훌륭한 자료를 게시하며 기업의 보안 여정을 전문적으로 지원하는 보안 조직이 있습니다. 시작하는 가장 좋은 방법은 보안 파트너를 초대하여 보안 위험 평가를 제공하고 시작하는 데 도움을 주는 것입니다. 훌륭한 보안 파트너는 취약점을 찾는 데 도움을 줄 뿐만 아니라 위협 환경이 변화함에 따라 보안 프로그램을 성장시킬 것입니다. 보안 파트너가 없으면 숙제를 하고 여러 조직을 인터뷰하여 적합한 파트너를 찾으십시오.
물론 SCORE 멘토가 올바른 선택을 하도록 도울 수 있습니다. 오늘 바로 찾으십시오.