start-up

Start-upy a bezpieczeństwo informacji

Dlaczego sukces start-upów zależy między innymi od bezpieczeństwa danych?

Leonid Grustniy
16/04/2019

Najczęściej start-upy są zakładane przez osoby, które mają jakiś pomysł i chcą jak najszybciej go zrealizować. Zwykle nie dysponują one bogatym portfelem, a wydatki szybko się mnożą w związku z koniecznością rozwijania produktu czy promowania go. Określając priorytety, osoby takie często pomijają kwestie związane z bezpieczeństwem informacji. W dzisiejszym poście powiemy, dlaczego nie powinno tak być.

Hakerzy nie pogardzą nawet start-upem

Wiele start-upów próbuje zaoszczędzić na ochronie w przekonaniu, że mała firma posiadająca ograniczone zasoby nie leży w kręgu zainteresowania cyberprzestępców. Jednak prawda jest taka, że każdy może paść ofiarą cyberprzestępstwa. Po pierwsze dlatego, że wiele cyberzagrożeń występuje powszechnie, a ich autorzy działają na szeroką skalę, próbując złapać w swoje sidła jak najwięcej ofiar. Po drugie, często słabo zabezpieczone start-upy stanowią atrakcyjny cel dla cyberprzestępców.

Podczas gdy korporacje poświęcają czasami kilka miesięcy na powrót do sprawnego działania po cyberataku, mała firma może zwyczajnie go nie przetrwać. W 2014 roku działania cyberprzestępców doprowadziły do zamknięcia start-upu o nazwie Code Spaces, dostawcy usług hostingowych oferujących narzędzia umożliwiające zarządzanie wspólnymi projektami. Atakujący uzyskali dostęp do firmowych zasobów w chmurze i zniszczyli znaczną część danych należących do klientów. Właścicielom serwisu udało się przywrócić część z nich, jednak firma nigdy nie wróciła do funkcjonowania sprzed incydentu.

Błędy, które mogą kosztować firmę byt

Aby odpowiednio zabezpieczyć swój start-up, gdy ma się ograniczony budżet, można przygotować własny model zagrożeń, zanim rozpocznie on swoją działalność — aby określić, co najbardziej zagraża firmie. Poniżej prezentujemy typowe błędy wielu początkujących przedsiębiorców.

Brak wiedzy o przepisach dotyczących przechowywania i przetwarzania danych osobowych

Wiele rządów próbuje zapewnić bezpieczeństwo swoich obywateli. Europa wprowadziła przepisy RODO, a w Stanach Zjednoczonych powstało wiele przepisów dla różnych branż i stanów. Są one stosowane bez względu na to, czy obywatele je znają.

Kara za złamanie danych wymogów prawnych może być różna, jednak zaniedbanie bywa dosyć kosztowne. W najgorszym przypadku należy zawiesić swoje działania do czasu wyeliminowania niezgodności.

Czasami prawo sięga dalej, niż myślimy. Na przykład przepisy RODO odnoszą się również do wszystkich firm, które w jakiś sposób maja do czynienia z danymi obywateli Europy — nawet tych z Rosji czy Stanów Zjednoczonych. Wobec tego najlepiej jest zapoznać się zarówno z krajowymi przepisami prawa, jak i tymi, które obowiązują w krajach partnerów i klientów.

Kiepskie zabezpieczenie zasobów w chmurze

Wiele start-upów korzysta z publicznych usług chmury, takich jak Amazon AWS czy Google Cloud, jednak nie wszystkie odpowiednio zabezpieczają w nich swoje zasoby. W wielu przypadkach kontenery zawierające dane klientów lub kody aplikacji webowych są chronione tylko słabym hasłem — a dostęp do wewnętrznych dokumentów firmowych można uzyskać poprzez bezpośrednie łącza, które można również znaleźć w wyszukiwarkach. W efekcie każdy może wejść w posiadanie krytycznych danych. Czasami, aby ułatwić sobie życie, start-upy przechowują ważne dokumenty w taki sposób, że są one dostępne dla każdego w Dokumentach Google — zwyczajnie dlatego, że zapominają ograniczyć do nich dostęp w ustawieniach.

Brak przygotowania na wypadek ataków DDoS

DDoS to skuteczny sposób zablokowania dostępnego w internecie zasobu. W darknecie takie usługi są stosunkowo niedrogie, przez co może z nich skorzystać zarówno konkurencja, jak i cyberprzestępcy, którzy potrzebują ich jako przykrywki dla bardziej wyrafinowanych działań.

W 2016 roku usługa portfela kryptowalut o nazwie Coinkite musiała zostać zamknięta ze względu na nieustające ataki DDoS. Według jej właścicieli ataki trwały już od momentu rozpoczęcia działalności. Po kilku latach firma poddała się, a przedsiębiorcy skupili się na portfelach sprzętowych.

Niski poziom świadomości pracowników

W każdej firmie najsłabsze ogniwo stanowią najczęściej ludzie. Atakujący dobrze to wiedzą i używają różnych technik socjotechnicznych, dzięki którym mogą przenikać do firmowych sieci lub zdobywać poufne informacje.

Niski poziom świadomości jest niebezpieczny również dla firm zatrudniających freelancerów: trudno kontrolować, z jakich urządzeń i sieci korzystają podczas pracy. Dlatego tak ważne jest motywowanie ich oraz dbanie o odpowiednią postawę względem bezpieczeństwa wszystkich pracowników.

Jak zadbać o przetrwanie start-upu?

Aby nie narażać się na działania cyberprzestępców i nie móc rozwijać firmę, skup się na zapewnieniu jej właściwego poziomu cyberbezpieczeństwa jeszcze podczas tworzenia biznesplanu:

Określ, które zasoby wymagają ochrony jako pierwsze i na jakie narzędzia ochrony możesz sobie pozwolić na początkowym etapie działalności. Tak naprawdę wiele rozwiązań zabezpieczających można zdobyć w bardzo korzystnej cenie.
Używaj niezawodnych haseł do ochrony urządzeń i kont. Nasze rozwiązanie Kaspersky Small Office Security zawiera narzędzie Kaspersky Password Manager generujące silne hasła i przechowujące je w szyfrowanych kontenerach. Włącz autoryzację dwuetapową — dziś oferują ją niemal wszystkie usługi i zapewnia ona całkiem dobrą ochronę.
Prześledź przepisy prawne obejmujące przechowywanie i przetwarzanie danych w krajach, w których masz zamiar działać, a także upewnij się, że firma je spełnia. Jeśli to możliwe, zapytaj prawnika, jakie pułapki czyhają na każdym z tych rynków.
Zwracaj uwagę na bezpieczeństwo usług i oprogramowania firm zewnętrznych. W jakim stopniu chroniony jest system służący do rozwijania produktu, którego używasz? Czy dostawca usług hostingowych, z którego korzystasz, ma właściwy poziom ochrony? Czy istnieją jakieś znane luki w wykorzystywanych przez Ciebie bibliotekach z otwartym kodem źródłowym? Te pytania powinny interesować Cię co najmniej tak samo jak właściwości produktu końcowego, nad którym pracujesz.
Zwiększ świadomość pracowników w odniesieniu do cyberbezpieczeństwa i zachęcaj ich do pogłębiania swojej wiedzy w tym zakresie. Jeśli w firmie nie jest zatrudniony specjalista od cyberbezpieczeństwa (a zwykle tak właśnie jest w przypadku start-upów), znajdź osobę, która choć trochę interesuje się tym tematem i może śledzić nasz blog.
Nie zapominaj o ochronie infrastruktury komputerów. Nasza firma oferuje rozwiązanie dla początkujących firm z ograniczonym budżetem. Zapewnia ono wgląd w ochronę na stacjach roboczych i serwerach oraz umożliwia bezpieczne przeprowadzanie płatności przez internet. Aby korzystać z tego rozwiązania, nie trzeba posiadać umiejętności na poziomie administratora.

CVE-2019-0859: luka dnia zerowego w systemie Windows

Nasze proaktywne technologie zabezpieczające zidentyfikowały próby wykorzystania kolejnej luki dnia zerowego w pliku win32k.sys.

Darmowe narzędzia

Ochrona ukierunkowana

Branże

Start-upy a bezpieczeństwo informacji

Hakerzy nie pogardzą nawet start-upem

Błędy, które mogą kosztować firmę byt

Jak zadbać o przetrwanie start-upu?

Czy Twoja organizacja potrzebuje rozwiązania XDR?

Jak zablokować stronę phishingową

CVE-2019-0859: luka dnia zerowego w systemie Windows

Porady

Pięć wskazówek dotyczących ochrony przed oprogramowaniem ransomware

Przewodnik po bezpieczeństwie informacji dla nowych pracowników

Czy aplikacje mogą eliminować hałas?

Ataki ransomware na sektor opieki zdrowotnej

Zapisz się, aby otrzymywać informacje o nowych artykułach

Produkty dla domu

Produkty dla małych firm

Produkty dla średnich firm

Produkty dla korporacji

Securelist

Eugene Personal Blog