W ciągu ostatnich kilku lat cyberbezpieczeństwo stało się dużym problemem w świecie budownictwa. Wykonawcy są podatni na ataki i łatwo atakowani przez hakerów, a okupy i przestoje kosztują miliony dolarów.
W części 1 tej serii omówiliśmy, dlaczego firmy budowlane są tak często atakowane przez cyberataki. W tym artykule pokażemy Ci, co zrobić, gdy zostaniesz zaatakowany i jak skonfigurować program bezpieczeństwa cybernetycznego dla Twojej firmy, który pomoże zapobiec tym atakom.
Kiedy uderza katastrofa
Jeśli nie zatrudniłeś konsultanta ds. cyberbezpieczeństwa, zanim zostaniesz zaatakowany, na pewno będziesz go potrzebować. Prawdopodobny kierunek działania konsultanta wyglądałby mniej więcej tak:
- Utwórz plan reagowania na incydenty.
- Zidentyfikuj zagrożenie.
- Znajdź dziury w Twojej obronie
- Podłącz wyciek / Usuń wirusa.
- Zidentyfikuj dodatkowe słabości i napraw je.
- Następnie negocjuj, aby zmniejszyć okup
Negocjacje z przestępcami
Nick EspinosaUnless masz kopię zapasową danych tam, gdzie cyberprzestępcy nie mogą się do niej dostać, prawdopodobnie będziesz musiał zapłacić okup. Ale to może być negocjowane.
„Muszę jeszcze zapłacić pełną cenę za okup”, mówi Nick Espinosa, główny Fanatyk bezpieczeństwa w firmie cyberbezpieczeństwa Security Fanatics. „W zeszłym roku mieliśmy firmę AEC (architecture, engineering and construction), otrzymaliśmy okup za 5 milionów dolarów i zmniejszyliśmy go do 1,2 miliona dolarów. Załatwiłem małego mechanika za $ 85,000. zmniejszyliśmy ich do $10,000. Więc możesz negocjować te rzeczy.”
Negocjacje często dają kontrahentom cyberbezpieczeństwa czas na wykrycie włamania, zatkanie dziur i odbudowanie systemu, mówi Espinosa. A gdy system będzie bezpieczniejszy, hakerzy będą mieli większą zachętę do obniżenia swoich wymagań. „Istnieje cała metodologia, której używamy i która pozwala na interesujące rozmowy”, mówi.
Wsparcie techniczne hakerów
Po wynegocjowaniu i zapłaceniu okupu hakerzy zazwyczaj przywracają Twoje dane-ale nie zawsze idealnie. „Możesz odzyskać dokumenty Word, pliki Excel, pliki PDF i zdjęcia, ale bazy danych są trudne”, mówi Espinosa. „Są łatwe do złamania, więc niektóre z tych dużych plików nie można odzyskać, lub odzyskanie ich może wymagać dużo pracy.”
Raportowanie zgodności
Nie ma standardowego zestawu przepisów dotyczących powiadamiania organów ścigania lub innych agencji po doświadczeniu cyberataku. Jednak w zależności od wykonywanej pracy może być konieczne poinformowanie różnych agencji. Na przykład:
- Jeśli doświadczysz szkody lub zapłacisz okup, musisz powiadomić firmę ubezpieczeniową.
- Jeśli jesteś firmą, która przyjmuje karty kredytowe, istnieje wymóg zgłaszania.
- Jeśli jesteś firmą wykonującą pracę dla Departamentu Obrony lub rządu federalnego, FBI może wymagać powiadomienia.
- Jeśli jesteś spółką notowaną na giełdzie, może być konieczne powiadomienie SEC lub Federalnej Komisji Handlu.
Urzędnicy państwowi i lokalni mogą również mieć prawo ochronne i prywatność prawa chroniące konsumentów. Przepisy zazwyczaj wymagają powiadomienia każdego klienta, którego adres e-mail lub inne dane również mogły zostać naruszone. „Zalecam, aby skonsultować się z twoim stanem i lokalnymi jurysdykcjami, ponieważ nigdy nie wiesz, jakie prawa Ci się podporządkują”, mówi Espinosa.
Jak założyć program cyberbezpieczeństwa
Aby bronić swoją firmę przed cyberatakami, zrozum jedno. Pełna ochrona przed cyberbezpieczeństwem nie jest czymś, co zazwyczaj może zapewnić dział IT lub osoba IT (zakładając, że ją posiadasz).
Cyberbezpieczeństwo i to są dwa różne zwierzęta. Espinosa mówi, że ludzie wykonujący tego rodzaju pracę mają różne wykształcenie i kwalifikacje. Większość systemów sieciowych do użytku domowego, biurowego lub terenowego ma minimalny poziom bezpieczeństwa, ale zbudowanie zapory przeciw atakom wymaga całkowicie nowej warstwy ochrony w systemie IT i sieciowym.
Szkolenia dla każdego
„Przede wszystkim wszyscy twoi ludzie potrzebują szkolenia”, mówi Espinosa. „To największy problem, jaki mamy w cyberbezpieczeństwie. Każdy musi się uczyć, od dozorcy do Prezesa.”
Wraz ze szkoleniami firmy zajmujące się cyberbezpieczeństwem zaktualizują Twoje systemy, zapory sieciowe i Punkty dostępu bezprzewodowego. Będą one również naprawić potencjalne luki, które są znane i mogą być wykorzystywane i skonfigurować systemy szyfrowania danych. Zrozum również, że ochrona Twojej firmy przed cyberatakami nie jest jednorazowym rozwiązaniem.
Hakerzy zawsze wymyślają nowe techniki. Oprogramowanie antywirusowe przestaje działać. Nowi lub niewyszkoleni pracownicy, dostawcy lub podwykonawcy zaczynają korzystać z twojego systemu. Wszystkie te scenariusze niosą ze sobą nowe ryzyko. Cyberbezpieczeństwo musi stać się częścią kultury Twojej firmy, z ciągłą czujnością, podobnie jak kultura bezpieczeństwa.
Plany backupu
Zdecydowanie najbardziej krytyczną częścią obrony jest tworzenie kopii zapasowych wszystkich danych, zarówno w chmurze, jak i na zdalnym serwerze, który kontrolujesz, a który nie jest podłączony do Internetu, lub w obu tych przypadkach.
„Nie mogę powiedzieć, ile razy widziałem, jak chmura lub chmura zapasowa wyciągają firmę z ognia” – mówi Espinosa. Nawet jeśli hakerzy nie stanowią zagrożenia, kopie zapasowe mogą chronić Twoje dane przed powodziami, pożarami i innymi klęskami żywiołowymi, dzięki czemu nie ma to znaczenia dla każdej firmy.
Usługi w chmurze świadczone przez Amazon, Apple i Google są zazwyczaj dobrze zabezpieczone przed atakami. Jeśli nie skonfigurujesz źle usług w chmurze, hakerzy nie powinni być w stanie ich zaatakować.
Czas i koszt
Stworzenie cyberbezpiecznego środowiska operacyjnego dla Twojej firmy nie jest tanie i nie można tego zrobić szybko. Sześciocyfrowe koszty to niski koniec tego rodzaju prac doradczych, a siedem cyfr jest powszechnych. Analiza luk w zabezpieczeniach Twojej firmy może potrwać do sześciu miesięcy.
Ale w tym celu powinieneś uzyskać zapory sieciowe, filtry antyspamowe, programy antywirusowe, szkolenia, roczną ocenę luk w zabezpieczeniach i test penetracyjny oraz plany tworzenia kopii zapasowych danych.
W ocenie Cyber konsultanci szukają firm, których ludzie posiadają certyfikaty takie jak Certified Information Security Manager i Certified Business Continuity Professional. Poszukaj również dostawców, którzy są członkami Stowarzyszenia audytu i kontroli systemów informatycznych (ISACA) i Disaster Recovery Institute International (DRII).
Istnieją również dwa obowiązujące standardy, na które należy zwrócić uwagę:
- ISO / IEC27001 to międzynarodowy standard bezpieczeństwa informacji.
- NIST 801-171 jest standardem Federalnym dla wykonawców pracujących dla agencji federalnej.
Praca rządowa
Departament Obrony ma również standard w pracach, które staną się prawem w przyszłym roku lub dwóch, które będą bezpośrednio wpływać na wykonawców budowlanych prowadzących interesy z niektórymi agencjami federalnymi, CMMC 2.0. Być może słyszałeś o oryginalnym CMMC 1.0, który miał kłopotliwe wprowadzenie. To jeszcze nie jest prawo, ale jest zmieniane, aby było łatwiejsze i mniej uciążliwe dla wykonawców.
Dwie rzeczy na temat CMMC 2.0:
- W niedalekiej przyszłości nie będziesz mógł licytować stanowisk w Departamencie Obrony, jeśli nie będziesz miał audytu i nie spełnisz standardów.
- Przewiduje się, że standardy CMMC obejmą ostatecznie wszystkie agencje federalne i prawdopodobnie zostaną przyjęte przez Stany, hrabstwa i gminy, co oznacza, że nie będziesz w stanie wykonywać żadnej pracy publicznej bez certyfikacji.
W części 3 tej serii przedstawimy szczegółowo, co musisz wiedzieć, aby przygotować swoją firmę do audytów i certyfikacji CMMC 2.0.
Nick Espinosa jest ekspertem od cyberbezpieczeństwa i założycielem fanatyków bezpieczeństwa. Jako współautor bestsellerowej książki o cyberbezpieczeństwie „Easy Prey”, prelegent TEDx i gospodarz programu radiowego Deep Dive nationally syndicated, wygłosił prezentacje na ten temat dla wielu Stowarzyszeń Budowlanych.
Espinosa przyczynił się do stworzenia certyfikowanego programu nauczania National Security Administration, aby pomóc społeczności cyberbezpieczeństwa/cyberwojny w obronie naszego rządu, ludzi i korporacji przed zagrożeniami cybernetycznymi na całym świecie. Jest również członkiem Rady technologicznej Forbesa i częstym współpracownikiem strony internetowej tego magazynu.