Typowe błędy start-upów związane z cyberbezpieczeństwem

Co przeoczają zwykle młode firmy, jeśli chodzi o ochronę?

W internecie znajdziesz miliony wskazówek, jak utrzymać start-up. Zazwyczaj dotyczą one kwestii związanych z planowaniem biznesowym, strategią marketingową, przyciąganiem dodatkowych inwestycji i tak dalej, ale w artykułach rzadko mówi się o budowie solidnego systemu cyberbezpieczeństwa. Tymczasem niezrozumienie zagrożeń może kosztować start-up potencjalnie udany biznes. Postanowiliśmy opowiedzieć o najbardziej typowych błędach w cyberbezpieczeństwie i podpowiedzieć, jak im zapobiegać.

Źródło problemu

Oto typowa historia start-upu: wraz ze znajomym wpadacie na genialny pomysł, omawiacie go z innymi, zbieracie grupę entuzjastów i dream team jest gotowy. Tak zaczęła się historia Airbnb, Pinteresta, Twittera, Ubera i wielu innych znanych projektów.

Jednak gdy start-up ewoluuje i przychodzi do ustalenia pracy czy zatrudnienia dodatkowego personelu, pojawiają się problemy. Mała grupa podobnie myślących osób rozszerza się i staje się zespołem przypadkowych ludzi o różnych poglądach i doświadczeniach życiowych. Pracownicy mogą na przykład mieć całkiem odmienne zdanie co do tego, jakie informacje należy uznać za poufne i jak je zabezpieczyć.

Oto przykład: jeden z pracowników postanawia, że wygodnie byłoby napisać hasło do usługi online na tablicy — w ten sposób każda osoba, która będzie go potrzebować, znajdzie je szybko i łatwo. Tymczasem inny pracownik publikuje w sieci społecznościowej selfie z biura, na którym owa tablica jest widoczna w kadrze. To jeden z powodów, dla których młode start-upy napotykają problemy z cyberbezpieczeństwem. Taki problem można rozwiązać tylko poprzez rozwój korporacyjnej kultury cyberbezpieczeństwa.

Jednocześnie osoby, które przychodzą do pracy w start-upach, często są entuzjastami i poszukiwaczami przygód – szybko zakochują się w pomyśle i równie szybko mogą zmienić swoje zainteresowania i odejść. Ponadto start-upy dość często współpracują ze specjalistami IT, którzy mają tendencję do przechodzenia z biznesu do biznesu w ciągu kilku lat.

Te dwa aspekty mogą doprowadzać do szybkiej rotacji pracowników, w której mogą się mnożyć różne błędy, zwłaszcza te związane z cyberbezpieczeństwem. Wówczas łatwiej jest przeoczyć cyberzagrożenie, którego można byłoby uniknąć.

Typowe błędy w cyberbezpieczeństwie

Wyobraźmy sobie, że mały start-up szybko stał się pełnoprawnym biznesem. Jakie błędy w cyberbezpieczeństwie mogły zostać popełnione?

Nadmierne uprawnienia dostępowe

Często, gdy pracownik start-upu potrzebuje dostępu do zasobów lub usług firmowych, od razu otrzymuje uprawnienia administratora. Osoba, która je przyznaje, zwykle uważa, że łatwiej jest dać dostęp do wszystkiego naraz, i nie stara się poznać rzeczywistych potrzeb konkretnego pracownika ani jego obowiązków. W ten sposób pozornie ułatwia sobie sprawę, bo nie otrzymuje nowych próśb o przyznanie dostępu co tydzień. Ale im więcej uprawnień dostępowych ma pracownik, tym większa jest szansa na popełnienie błędu. Jeśli chcesz zminimalizować liczbę cyberincydentów, zadbaj o to, aby każdy uczestnik procesu miał dostęp tylko do tego, co jest niezbędne do wykonywania jego zadań.

Brak zasad przechowywania informacji

Ogólnie rzecz biorąc, zasady dotyczące przechowywania informacji powinny mieć wszystkie firmy. Ale w start-upie, ze względu na wspomnianą wyżej rotację personelu, możesz pewnego dnia po prostu nie być w stanie znaleźć ważnych plików. O tym, gdzie one się znajdują, wiedział programista i stażysta w dziale marketingu, ale niedawno opuścili oni firmę, zabierając tę informację ze sobą.

Zapomniane hasła

Kolejnym często spotykanym problemem są zapomniane hasła do firmowych sieci społecznościowych lub innych rzadko używanych usług. Zdarza się, że nowy pracownik zakłada konto na Facebooku lub w serwisie LinkedIn, aby pomóc w promowaniu firmy, ale nie udostępnia danych logowania pozostałym członkom personelu i wkrótce odchodzi z firmy — dane logowania znikają, a szansa na odzyskanie ich jest niewielka.

Hasła współdzielone

Niektóre osoby uważają, że ze względu na dużą rotację dobrym pomysłem może być korzystanie z kont współdzielonych. Ale im więcej osób zna hasło, tym bardziej prawdopodobne jest, że wycieknie ono w ramach phishingu, zaniedbania lub szkodliwych zamiarów. Ponadto takie podejście znacząco komplikuje dochodzenie w sprawie incydentu, gdy do niego dojdzie. Przypuśćmy, że ktoś uzyskał dostęp do takiego konta. Eksperci podejrzewają, że hasło zostało przechwycone przez szkodliwe oprogramowanie i chcą sprawdzić komputer pracownika, który miał do niego dostęp. W efekcie okazuje się, że dostęp ten mieli wszyscy!

Hasła w usługach w chmurze

Innym błędem związanym z hasłami jest przechowywanie ich w pliku w Dokumentach Google. Jeśli usługa ta zostanie nieprawidłowo skonfigurowana, plik ten będzie dostępny dla każdego, kto ma link. Oczywiście umieszczenie wszystkich niezbędnych haseł w jednym dokumencie i wysłanie pracownikom linku do niego jest bardzo wygodne, jednak takie dokumenty mogą być indeksowane przez wyszukiwarki. Innymi słowy, plik ze wszystkimi hasłami może potencjalnie wpaść w niepowołane ręce.

Brak uwierzytelniania dwuskładnikowego

Część problemów związanych z hasłami stwarzałaby mniejsze zagrożenie, gdyby start-upy stosowały na kontach służbowych uwierzytelnianie dwuskładnikowe. Mechanizm ten pozwala chronić ważne dane przed różnymi metodami kradzieży, takimi jak phishing. Przede wszystkim ochronę dwuetapową należy włączyć we wszystkich usługach finansowych, takich jak Upwork.

Uniwersalne wskazówki dotyczące zapobiegania cyberzagrożeniom

Aby uniknąć „typowych” błędów, które popełnia wiele małych firm i start-upów, warto postępować zgodnie z poniższymi poradami:

  • Jeśli chodzi o przyznawanie dostępu do zasobów lub usług, należy przestrzegać zasady przydzielania najniższych uprawnień. Oznacza to, że pracownik powinien dostawać jak najmniejszy zestaw uprawnień dostępowych — taki, które wystarczy mu tylko do wykonywania zadań firmowych.
  • Dowiedz się, gdzie dokładnie przechowywane są ważne informacje związane ze start-upem i kto ma do nich dostęp. Następnie opracuj wytyczne, przedstawiaj je każdemu nowemu pracownikowi i ustal, które konta są danej osobie potrzebne, a które powinny zostać ograniczone.
  • Dojrzała korporacyjna kultura cyberbezpieczeństwa pomaga zapobiegać wielu cyberzagrożeniom. Możesz na przykład zacząć od stworzenia podręcznika poświęconego cyberbezpieczeństwu i udostępnić go pracownikom. Na tej stronie znajdziesz przykład, czego możesz oczekiwać od nowych pracowników.
  • Wszystkie hasła muszą być przechowywane w bezpiecznym menedżerze haseł. W ten sposób wyeliminujesz ryzyko, że pracownicy je zapomną lub osoba z zewnątrz uzyska dostęp do Twoich kont. W miarę możliwości korzystaj z mechanizmów uwierzytelniania dwuskładnikowego.
  • Poinformuj swoich pracowników, aby blokowali komputer, gdy odchodzą od swojego biurka — siedzibę firmy mogą odwiedzać różne osoby obce, w tym kurierzy, klienci, podwykonawcy lub kandydaci do pracy.
  • Rozważ zainstalowanie oprogramowania antywirusowego, które ochroni urządzenia przed wirusami, trojanami i innymi szkodliwymi programami.

Dużej liczbie zagrożeń można zapobiec, korzystając z rozwiązania Kaspersky Small Office Security. Nie tylko ochroni ono urządzenia pracowników przed oprogramowaniem ransomware i innymi powszechnymi cyberzagrożeniami, ale także zawiera menedżer haseł.

Porady