Что производителям нужно знать о кибербезопасности прямо сейчас - Интервью с Пэт Тотом

Количество кибератак продолжает расти, а киберпреступники становятся все более решительными. Компании вынуждены пытаться ориентироваться в запутанных технических рекомендациях в быстро меняющемся цифровом ландшафте. Мелкие производители часто не думают, что их компании подвергаются риску. В конце концов, зачем кому-то нацеливаться на небольшого сельского производителя, когда есть более крупные предприятия?

Чтобы понять, что происходит, и узнать, что производителям действительно нужно знать о кибербезопасности, я сел с Пэтом Тотом. Пэт - компьютерный ученый из Партнерства по расширению производства NIST, имеющий более 30 лет опыта в области кибербезопасности и работавший над многочисленными руководящими документами NIST по кибербезопасности.

Вопрос:действительно ли производители подвергаются риску кибератак по сравнению с другими отраслями? Если да, то почему?

Пэт: По данным Министерства внутренней безопасности США, обрабатывающая промышленность занимает второе место по количеству зарегистрированных кибератак.

Я думаю, что мелкие производители особенно уязвимы, потому что они рассматриваются как легкие точки входа в более крупные цепочки поставок. Подумайте об этом так:если вы преступник и планируете ворваться в здание и ограбить его, собираетесь ли вы попытаться проникнуть в здание с оборудованием для наблюдения, системой сигнализации и охраной, или вы, скорее всего, станете целью здание, в котором нет ни одной из этих функций безопасности? Как правило, последнее, поэтому киберпреступники специально нацелены на производителей. К сожалению, многие малые предприятия не принимают надлежащих мер безопасности, потому что эти компании не считают себя целями.

Киберпреступники могут быть заинтересованы в вашей интеллектуальной собственности (IP) или могут захотеть получить доступ к информации о том, с кем вы работаете или кого нанимаете. Утечка данных клиентов Target в 2013 году - один из самых известных примеров этого. Их поставщик систем HVAC был намеренно преследован киберпреступниками, потому что хакеры знали, что они могут получить доступ к системам Target через этого поставщика HVAC. В результате утечки данных была украдена информация о кредитных картах миллионов людей.

Вопрос:учитывая, что малые и средние производители (SMM) часто являются основными целями, но также часто имеют ограниченные ресурсы, что эти SMM могут сделать?

Пэт: Это может показаться сложным и, вероятно, немного ошеломляющим, но есть вещи, которые могут делать SMM, которые не требуют больших затрат и которые легко реализовать.

На самом деле все сводится к разработке политики и обучению сотрудников. Различные исследования показали, что сотрудники являются одним из самых уязвимых мест в системе безопасности любой компании. Большинство сотрудников просто не знают, чего им следует остерегаться и как идентифицировать потенциальный или фактический киберинцидент, пока не станет слишком поздно. Компаниям необходимо регулярно общаться, чтобы помочь сотрудникам понять тактику киберпреступников и ту важную роль, которую они играют в предотвращении киберинцидентов.

Например, в вашей компании должна быть действующая политика использования социальных сетей на рабочем месте. Некоторые сотрудники ожидают доступа к социальным сетям в течение рабочего дня. Компании сталкиваются с необходимостью уравновешивания - предоставить сотрудникам доступ к социальным сетям и защитить свои системы. Итак, как вы это делаете? Вы устанавливаете политику. Политика может заключаться в том, что вы не разрешаете использование социальных сетей в системах компании. Возможно, вы создадите отдельную полуобщественную сеть для людей, которые смогут получить доступ к социальным сетям в течение дня, что не подвергнет вашу компанию рискам. Какой бы ни была ваша политика, убедитесь, что ваши сотрудники знают о ней, понимают, почему она существует, и возможные последствия ее нарушения.

Вопрос:Приятно слышать, что производители могут внедрить недорогие и недорогие решения. Если компания готова улучшить свою кибербезопасность, с чего им начать?

Пэт: Начните с изучения NIST Cybersecurity Framework и NISTIR 7621 Small Business Information Security:The Fundamentals. Структура кибербезопасности состоит из стандартов, руководств и передовых методов управления рисками, связанными с кибербезопасностью. Он обеспечивает приоритетный, гибкий и экономичный подход к защите систем. Информационная безопасность для малого бизнеса:Основы основаны на концепции кибербезопасности и обеспечивают более управляемый обзор для лиц, принимающих решения в компании, которые могут не иметь технического образования. В нем также уделяется внимание тому, как оценивать и приоритизировать функции безопасности.

Для начала вот краткое изложение того, что вы найдете в Framework.

Первый шаг - Определить . Определите наиболее ценную информацию для вашей компании. Это информация, потеря или изменение которой остановят вашу работу. Например, предположим, что вы производитель продуктов питания и делаете печенье с шоколадной крошкой по рецепту своей бабушки. Этот рецепт жизненно важен для вашего бизнеса и должен быть защищен от кражи или изменения, чтобы ваш бизнес мог продолжать работу.

Второй шаг - Защитить . . Вы поговорили с менеджерами и персоналом и использовали эти отзывы, чтобы определить наиболее важную информацию для вашей компании. Пришло время решить, что нужно сделать, чтобы должным образом защитить эту информацию. Этот шаг во многом зависит от угроз и уязвимостей, присущих вашему бизнесу. Небольшим компаниям, которые просто работают с клиентами посредством личного общения или по телефону, не так много нужно защищать, как компаниям, которые ведут бизнес через электронную почту и веб-порталы. То, какую защиту нужно установить, действительно зависит от вашей операционной среды.

Третий шаг - Обнаружить . . Вы должны уметь определять, когда произошел киберинцидент. У вас должны быть современные системы защиты от шпионского ПО и вирусов, а также системы обнаружения вторжений. Вы также должны учитывать свое физическое пространство. Подумайте, например, нужно ли вам предупреждать, когда люди попадают в те места, в которые им не положено. Независимо от того, является ли инцидент цифровым или физическим, важно знать, когда он произошел и к чему получили доступ люди.

Четвертый шаг - Ответить . . Когда происходит киберинцидент, вашей компании необходимо будет быстро отреагировать, чтобы уменьшить потенциальный ущерб. Перед тем, как что-то случится, вам необходимо разработать план. В плане следует указать, кто несет ответственность и с кем следует связываться, когда что-то происходит. Кроме того, сотрудники должны знать, как получить доступ к плану в рабочее и нерабочее время.

Помните, когда мы учились в начальной школе несколько раз в год? Точно так же, как эти учения по пожарной безопасности, ваша компания должна регулярно практиковать реагирование на киберинциденты, чтобы сотрудники точно знали, что делать в случае киберинцидента.

Пятый и последний шаг - Восстановление . . Вам следует выполнять регулярное резервное копирование, чтобы вы могли восстановить свои системы. Эти резервные копии следует хранить в отдельном месте или в облаке. Вам нужно протестировать свои резервные копии. Если вы не проверяете данные резервной копии, вы не можете быть уверены, что сможете полностью восстановиться после события. Частота проверки резервных копий должна зависеть от того, насколько важна информация для деятельности компании.

Это не универсальная ситуация, и вы должны решить, что работает для вашей компании и ее культуры. Для одной компании может хватить тестирования один раз в год. Для другой компании может потребоваться тестирование один раз в неделю. Это нелегко услышать, но на самом деле для этого нужно посмотреть на свои системы, чтобы увидеть, где вы уязвимы, зная, с какими угрозами вы сталкиваетесь и как вы собираетесь им противодействовать.

Вопрос:Допустим, моя компания приняла надлежащие меры безопасности, и мы разработали план ответных действий:что будет дальше?

Пэт: Это не одноразовое занятие. Вы не можете написать план ответа и положить его на полку. Это должен быть живой документ. Всем необходимо знать вашу позицию в области кибербезопасности и то, как вы можете продолжать ее улучшать.

Каждый раз, когда вы покупаете новое оборудование или нанимаете нового сотрудника, вам нужно думать о том, как эти действия влияют на вашу безопасность. Для небольших компаний это может быть сложно. Слишком часто я вижу случаи, когда компания быстро растет и забывает, что не всем нужен доступ ко всей информации. Это может занять некоторое время, но руководству необходимо просмотреть список сотрудников и понять, к чему они должны и не должны иметь доступ. Кому-то в цехе не нужен доступ к информации о заработной плате. Определение ролей и разделение этих ролей может быть трудным, но необходимо, если вы хотите защитить вашу компанию от киберугроз.

Я думаю, что кибербезопасность и качество имеют много общего с точки зрения принятия. Многие компании не спешили внедрять системы качества, такие как ISO 9000. Главный компонент качества - это образ мышления в компании. Кибербезопасность возлагается не только на ИТ-специалиста или человека, отвечающего за кибербезопасность - каждый сотрудник на каждом уровне компании несет определенную форму ответственности. Чтобы быть эффективной, кибербезопасность должна быть частью корпоративной культуры, как и качество.

Вопросы:где я могу найти информацию, чтобы обучить своих сотрудников тому, что они могут сделать, чтобы снизить киберриски компании?

Пэт: Перейдите на веб-страницу ресурса NIST MEP Cybersecurity Resource. На этой странице вы найдете ряд ресурсов, в том числе простой инструмент самооценки, который вы можете использовать (на основе концепции кибербезопасности NIST) для самооценки уровня киберрисков вашей компании. Самооценка может помочь вам определить слабые стороны вашей компании и на что направить ресурсы для их улучшения. Мы не отслеживаем вашу информацию и не храним результаты. После прохождения оценки вы получите оценку, чтобы вы знали, в чем заключаются ваши слабые места в отношении ваших усилий по кибербезопасности. Вы также можете обратиться в один из 51 центра MEP, расположенных во всех 50 штатах и ​​Пуэрто-Рико, которые являются частью Национальной сети MEP ^TM для вопросов или помощи.