Compania ta isi permite un incident de securitate IT?
Compania ta isi permite un incident de securitate IT?. O parte dintre infractorii cibernetici chiar preferă să atace microîntreprinderile.
În economia globală, companiile mici şi mijlocii produc, în total, trilioane de dolari şi au milioane de angajaţi. În general, IMM-urile sunt definite drept companii care au mai puţin de 500 de angajaţi, însă cum rămâne cu firmele foarte mici? Potrivit estimărilor IDC, la nivel mondial există aproximativ 80 de milioane de companii care îşi desfăşoară activitatea cu mai puţin de 10 angajaţi. Aceste „companii foarte mici” sunt adesea administrate de acasă, iar fondatorul şi preşedintele firmei este, de obicei, aceeaşi persoană care comandă şi hârtia pentru imprimantă. Totuşi, aceste organizaţii vor rula milioane, dacă nu miliarde, de dolari în 2013.
O altă realitate a acestor 80 de milioane de microîntreprinderi este că majoritatea nu au angajaţi sau resurse alocate special pentru dezvoltarea reţelei IT. În multe cazuri, acelaşi angajat care achiziţionează hârtia pentru imprimantă este, de asemenea, responsabil pentru administrarea reţelei de computere şi a legăturii cu clienţii companiei.
În ciuda dimensiunilor reduse, microîntreprinderile au anumite nevoi vitale comune cu cele ale companiilor mai mari, precum nevoia de a proteja datele importante – informaţiile clienţilor, dar şi propriile date financiare – atunci când procesează comenzile clienţilor şi fac tranzacţii bancare online. Aceste tipuri de companii împărtăşesc o similitudine – ambele pot deveni cu uşurinţă victimele infracţiunilor cibernetice.
Două prejudecăţi pe care le împărtăşesc companiile mici şi, în special, microîntreprinderile, sunt: „Mica mea afacere este ferită de infractorii cibernetici, pentru că nu îşi vor pierde timpul atacându-mă pe mine” şi „Mica mea afacere nu are nimic ce ar merita să fie furat”.
Însă, există numeroase dovezi care contrazic primul argument. De exemplu, raportul Verizon’s 2013 Data Breach Investigations, care include informaţii provenite din investigaţiile judiciare, relevă faptul că, din totalul de 621 de breşe de securitate analizate, 193 – adică peste 30% – au implicat companii care au cel mult 100 de angajaţi . Cel de-al doilea argument este, de asemenea, greşit, deoarece, în momentul în care o companie face o vânzare online, aproape întotdeauna accesează, sub o formă sau alta, anumite date ale clientului, precum numele, adresa sau numărul cardului de credit. Aceste informaţii de bază sunt cu siguranţă importante pentru infractorii cibernetici, iar informaţiile financiare ale firmei au, de asemenea, valoare pentru aceştia.
De fapt, o parte dintre infractorii cibernetici chiar preferă să atace firmele foarte mici, în locul companiilor mari, deoarece consideră că multe dintre acestea nu sunt suficient de bine protejate şi reprezintă, astfel, o ţintă uşoară pentru a câştiga rapid o sumă de bani. În lipsa unui buget corespunzător şi din cauza nivelului scăzut de pregătire a angajaţilor cu privire la securitatea IT, microîntreprinderile reprezintă, într-adevăr, o ţintă uşoară, iar şansele ca infractorii să fie descoperiţi sunt mult mai mici.
Pentru o afacere la început de drum, un singur incident de securitate poate însemna faliment. Potrivit studiului 2013 Global Corporate IT Security Risks (realizat de B2B International, alături de Kaspersky Lab), costul mediu al pierderilor de date pentru o afacere de dimensiuni mici sau mijlocii poate ajunge la sume de până la 36.000 de dolari la nivel mondial. Aici sunt incluse atât suma medie a oportunităţilor de business pierdute, cât şi costurile necesare pentru angajarea unui expert IT extern pentru a remedia imediat problema, şi, foarte probabil, achiziţionarea de echipamente noi. Pentru microîntreprinderi, o sumă de cinci cifre, necesară pentru a răspunde unui incident de securitate IT, poate reprezenta o lovitură extrem de dură. Pe lângă costurile imediate, o breşă de securitate poate avea un efect negativ pe termen lung – pierderea încrederii clienţilor.
“Dacă un client este obligat să îşi anuleze un card de credit pentru că informaţiile sale personale au fost furate din cauza unei companii, este foarte probabil ca acel client să fie suficient de furios încât să nu mai cumpere niciodată un produs al companiei respective”, a explicat Mark Bermingham, Director Global Product Marketing în cadrul Kaspersky Lab. „Pentru companiile foarte mici, care oferă servicii ce implică folosirea unor informaţii delicate – precum informaţiile despre taxe, care se regăsesc în bazele de date ale firmelor care oferă servicii financiare – clientul ar putea da în judecată compania. Multe companii sunt obligate de lege să declare anumite scurgeri de informaţii. Dacă practicile de securitate ale afacerii sunt catalogate ca fiind sub cerinţele minime stabilite de legislaţia industriei, compania ar putea avea de suportat amenzi usturătoare”, a completat Mark Bermingham.
Ce pot face microîntreprinderile pentru a preveni astfel de incidente? Kaspersky Lab prezintă trei reguli de bază, care pot fi utile pentru astfel de situaţii:
– Conştientizarea faptului că nicio companie nu este „prea mică să fie observată” de către răufăcători – chiar şi companiile mici dispun de elemente de proprietate intelectuală, conturi bancare şi, cel mai adesea, datele clienţilor.
– Simplificarea – Companiile mici ar trebui să utilizeze soluții software create special pentru IMM-uri sau să aleagă furnizori cunoscuţi pe piaţă pentru produsele de securitate complexe şi intuitive, pentru a nu cădea în capcana de a plăti mult mai mult pentru o soluţie dificil de utilizat.
– Investiţiile vitale – După investirea într-o soluţie antivirus de bază, următorul pas constă în găsirea unei tehnologii de criptare potrivite. Criptarea datelor este vitală pentru orice companie care procesează şi stochează informaţiile de plată ale clienţilor şi este adesea cerută de lege. Dacă datele criptate sunt furate sau pierdute, există şanse foarte mari ca infractorii cibernetici să nu reuşească să utilizeze datele furate, clienţii companiei rămânând protejaţi.
