16/04/2019

Start-upy a bezpieczeństwo informacji

Biznes MŚP

Najczęściej start-upy są zakładane przez osoby, które mają jakiś pomysł i chcą jak najszybciej go zrealizować. Zwykle nie dysponują one bogatym portfelem, a wydatki szybko się mnożą w związku z koniecznością rozwijania produktu czy promowania go. Określając priorytety, osoby takie często pomijają kwestie związane z bezpieczeństwem informacji. W dzisiejszym poście powiemy, dlaczego nie powinno tak być.


Hakerzy nie pogardzą nawet start-upem

Wiele start-upów próbuje zaoszczędzić na ochronie w przekonaniu, że mała firma posiadająca ograniczone zasoby nie leży w kręgu zainteresowania cyberprzestępców. Jednak prawda jest taka, że każdy może paść ofiarą cyberprzestępstwa. Po pierwsze dlatego, że wiele cyberzagrożeń występuje powszechnie, a ich autorzy działają na szeroką skalę, próbując złapać w swoje sidła jak najwięcej ofiar. Po drugie, często słabo zabezpieczone start-upy stanowią atrakcyjny cel dla cyberprzestępców.

Podczas gdy korporacje poświęcają czasami kilka miesięcy na powrót do sprawnego działania po cyberataku, mała firma może zwyczajnie go nie przetrwać. W 2014 roku działania cyberprzestępców doprowadziły do zamknięcia start-upu o nazwie Code Spaces, dostawcy usług hostingowych oferujących narzędzia umożliwiające zarządzanie wspólnymi projektami. Atakujący uzyskali dostęp do firmowych zasobów w chmurze i zniszczyli znaczną część danych należących do klientów. Właścicielom serwisu udało się przywrócić część z nich, jednak firma nigdy nie wróciła do funkcjonowania sprzed incydentu.

Błędy, które mogą kosztować firmę byt

Aby odpowiednio zabezpieczyć swój start-up, gdy ma się ograniczony budżet, można przygotować własny model zagrożeń, zanim rozpocznie on swoją działalność — aby określić, co najbardziej zagraża firmie. Poniżej prezentujemy typowe błędy wielu początkujących przedsiębiorców.

  1. Brak wiedzy o przepisach dotyczących przechowywania i przetwarzania danych osobowych

Wiele rządów próbuje zapewnić bezpieczeństwo swoich obywateli. Europa wprowadziła przepisy RODO, a w Stanach Zjednoczonych powstało wiele przepisów dla różnych branż i stanów. Są one stosowane bez względu na to, czy obywatele je znają.

Kara za złamanie danych wymogów prawnych może być różna, jednak zaniedbanie bywa dosyć kosztowne. W najgorszym przypadku należy zawiesić swoje działania do czasu wyeliminowania niezgodności.

Czasami prawo sięga dalej, niż myślimy. Na przykład przepisy RODO odnoszą się również do wszystkich firm, które w jakiś sposób maja do czynienia z danymi obywateli Europy — nawet tych z Rosji czy Stanów Zjednoczonych. Wobec tego najlepiej jest zapoznać się zarówno z krajowymi przepisami prawa, jak i tymi, które obowiązują w krajach partnerów i klientów.

  1. Kiepskie zabezpieczenie zasobów w chmurze

Wiele start-upów korzysta z publicznych usług chmury, takich jak Amazon AWS czy Google Cloud, jednak nie wszystkie odpowiednio zabezpieczają w nich swoje zasoby. W wielu przypadkach kontenery zawierające dane klientów lub kody aplikacji webowych są chronione tylko słabym hasłem — a dostęp do wewnętrznych dokumentów firmowych można uzyskać poprzez bezpośrednie łącza, które można również znaleźć w wyszukiwarkach. W efekcie każdy może wejść w posiadanie krytycznych danych. Czasami, aby ułatwić sobie życie, start-upy przechowują ważne dokumenty w taki sposób, że są one dostępne dla każdego w Dokumentach Google — zwyczajnie dlatego, że zapominają ograniczyć do nich dostęp w ustawieniach.

  1. Brak przygotowania na wypadek ataków DDoS

DDoS to skuteczny sposób zablokowania dostępnego w internecie zasobu. W darknecie takie usługi są stosunkowo niedrogie, przez co może z nich skorzystać zarówno konkurencja, jak i cyberprzestępcy, którzy potrzebują ich jako przykrywki dla bardziej wyrafinowanych działań.

W 2016 roku usługa portfela kryptowalut o nazwie Coinkite musiała zostać zamknięta ze względu na nieustające ataki DDoS. Według jej właścicieli ataki trwały już od momentu rozpoczęcia działalności. Po kilku latach firma poddała się, a przedsiębiorcy skupili się na portfelach sprzętowych.

  1. Niski poziom świadomości pracowników

W każdej firmie najsłabsze ogniwo stanowią najczęściej ludzie. Atakujący dobrze to wiedzą i używają różnych technik socjotechnicznych, dzięki którym mogą przenikać do firmowych sieci lub zdobywać poufne informacje.

Niski poziom świadomości jest niebezpieczny również dla firm zatrudniających freelancerów: trudno kontrolować, z jakich urządzeń i sieci korzystają podczas pracy. Dlatego tak ważne jest motywowanie ich oraz dbanie o odpowiednią postawę względem bezpieczeństwa wszystkich pracowników.

Jak zadbać o przetrwanie start-upu?

Aby nie narażać się na działania cyberprzestępców i nie móc rozwijać firmę, skup się na zapewnieniu jej właściwego poziomu cyberbezpieczeństwa jeszcze podczas tworzenia biznesplanu:

  • Określ, które zasoby wymagają ochrony jako pierwsze i na jakie narzędzia ochrony możesz sobie pozwolić na początkowym etapie działalności. Tak naprawdę wiele rozwiązań zabezpieczających można zdobyć w bardzo korzystnej cenie.
  • Używaj niezawodnych haseł do ochrony urządzeń i kont. Nasze rozwiązanie Kaspersky Small Office Security zawiera narzędzie Kaspersky Password Manager generujące silne hasła i przechowujące je w szyfrowanych kontenerach. Włącz autoryzację dwuetapową — dziś oferują ją niemal wszystkie usługi i zapewnia ona całkiem dobrą ochronę.
  • Prześledź przepisy prawne obejmujące przechowywanie i przetwarzanie danych w krajach, w których masz zamiar działać, a także upewnij się, że firma je spełnia. Jeśli to możliwe, zapytaj prawnika, jakie pułapki czyhają na każdym z tych rynków.
  • Zwracaj uwagę na bezpieczeństwo usług i oprogramowania firm zewnętrznych. W jakim stopniu chroniony jest system służący do rozwijania produktu, którego używasz? Czy dostawca usług hostingowych, z którego korzystasz, ma właściwy poziom ochrony? Czy istnieją jakieś znane luki w wykorzystywanych przez Ciebie bibliotekach z otwartym kodem źródłowym? Te pytania powinny interesować Cię co najmniej tak samo jak właściwości produktu końcowego, nad którym pracujesz.
  • Zwiększ świadomość pracowników w odniesieniu do cyberbezpieczeństwa i zachęcaj ich do pogłębiania swojej wiedzy w tym zakresie. Jeśli w firmie nie jest zatrudniony specjalista od cyberbezpieczeństwa (a zwykle tak właśnie jest w przypadku start-upów), znajdź osobę, która choć trochę interesuje się tym tematem i może śledzić nasz blog.
  • Nie zapominaj o ochronie infrastruktury komputerów. Nasza firma oferuje rozwiązanie dla początkujących firm z ograniczonym budżetem. Zapewnia ono wgląd w ochronę na stacjach roboczych i serwerach oraz umożliwia bezpieczne przeprowadzanie płatności przez internet. Aby korzystać z tego rozwiązania, nie trzeba posiadać umiejętności na poziomie administratora.