Små forretningsdatabrud: Forebyggelse af skaden


Små forretningsdatabrud: Forebyggelse af skaden

"Jeg ved ikke, hvordan små og mellemstore virksomheder kan overleve noget af denne størrelse" Will Pelgrin, præsident og administrerende direktør for Center for Internet Security, fortalte Mobby Business.

Jefff Kosc, en partner med advokatfirmaet Benesch, Friedlander, Coplan & Aronoff LLP, sagde virksomheder, der kompromitterer kunders personlige data, som f.eks. kreditkort og socialsikringsnumre står over for en lang række omkostninger, som ikke alle har et nøjagtigt beløb i dollar.

En af de største omkostninger kommer fra kredit- og betalingskortsselskaberne, som Kosc sagde, har brede kræfter og rettigheder i tilfælde af databrud, især hvis det blev opdaget, at virksomheden ikke overholdt betalingskortindustriens (PCI) regler. PCI-reglerne regulerer de specifikke sikkerhedsforanstaltninger, der skal overholdes af virksomheder, der accepterer kredit- og betalingskort.

"Hvis der er krænkelse af PCI, har de ret til at fastsætte bøder på købmænd," sagde Kosc om kredit og debet kort virksomheder. "De har også ret i henhold til disse aftaler at opkræve eventuelle svigagtige afgifter, der finder sted på alles kort som følge af overtrædelsen af ​​data."

Ud over at betale kreditkortselskaberne tilbage betaler virksomhederne omkostninger forbundet med at advare forbrugerne af overtræde, betale for deres kreditovervågningstjenester, undersøge, hvordan overtrædelsen fandt sted og tage yderligere skridt for at sikre, at det ikke sker igen.

Nylige undersøgelser fra Ponemon Institute og Symantec vurderer, at det koster virksomhederne $ 188 pr. tabt tabt.

Kosc sagde, at mange virksomheder i disse situationer også står over for et tab i produktivitet, fordi medarbejderne er mere fokuserede på at rydde op i rodet, end de har det normale daglige ansvar.

"Du trækker alle væk fra deres faste jobopgaver at håndtere et brud på data, "sagde han.

Afhængigt af omfanget af overtrædelsen, sagde Kosc, at virksomhederne også står over for potentielle bøder fra Federal Trade Commission. Han pegede på TJ Maxx som et eksempel, som blev tvunget til at udbetale mere end $ 9 millioner i bøder til mere end 40 forskellige advokater generelt efter overtrædelsen i 2007.

Ud over de hårde omkostninger lider virksomheder også potentielt uvurderlig skade til deres omdømme og tillid.

"Der er et fællesskab af mennesker, der har et betroet forhold til dig, og det kan blive truet," sagde Pelgrin. "Hvordan kan du komme fra alt det, der kan være meget svært."

Beskyttelse af din virksomhed

Et problem er, at mange tror, ​​at små virksomheder ikke er mål for cyberkriminelle på grund af deres størrelse. har tendens til at tro, at det ikke vil ske for os, fordi vi er for små, og at de virkelig ser på de større (virksomheder), og det er ikke tilfældet, "sagde han. "Alle er under konstant angreb på dette tidspunkt." Siden cyberkriminelle er blevet så effektive de seneste år, sagde Pelgrin, at selv med de bedste sikkerhedsforanstaltninger, der er på plads, er der ingen garanti for, at virksomhederne vil være sikre.

"Der Der er ikke en sølvkugle derude, sagde Pelgrin. "Det bedste du kan gøre er at være så flittig og årvågen som muligt for at sikre, at du har gjort alt for at være så sikkert som muligt."

For at beskytte forbrugerdata så meget som muligt, anbefaler Pelgrin virksomhederne at tage flere skridt:

Kend dit miljø

: Det betyder at tage opgørelse over al den hardware og software, du har, samt hvilken version hver kører. For at beskytte dig selv skal du vide præcis, hvad du ejer. "Hvad er dine aktiver, hvordan ser din infrastruktur ud, hvordan ser dit netværk ud?" Pelgrin sagde. "Der kan være en kendt sårbarhed, og du tror måske ikke engang, at det er inden for din infrastruktur og ubekendt for dig, det kan være helt aktiveret i hele din infrastruktur og dermed gøre dig meget sårbar over for et angreb."

Sikre dit miljø

  • : Få din hardware, software og netværk op til det højeste sikkerhedsniveau. Pelgrin sagde, at når små virksomheder køber ny hardware og software, har de ikke altid de nyeste sikkerhedsforanstaltninger på dem. Han sagde, at det er kritisk, at virksomheder kontrollerer hvert udstyr og downloader alle de nyeste sikkerhedsrettelser. Derudover sagde han, at alle sikkerhedsindstillingerne skal vende op, så vidt de kan være uden at hindre operationer. Styr dit miljø
  • : Pelgrin sagde det er absolut nødvendigt, at virksomhederne ikke giver alle deres medarbejdere total adgang til deres netværk og data. Han sagde, at medarbejderne ikke burde have adgang til højere administrationsniveauer, så de har brug for og burde ikke have tilladelse til at downloade noget, de vil have fra hvor som helst de vil. "De fleste af dine ansatte bør ikke have fuldstændig administrativ adgang til deres maskiner," sagde Pelgrin. "Den administrative adgang bør begrænses til meget få betroede individer." Desuden vil virksomheder gerne sikre, at de virksomheder og leverandører, de arbejder med, også har strenge sikkerhedsniveauer. Pelgrin sagde, at det er kritisk at have dokumentation fra de organisationer, du outsourcer dele af din virksomhed til på præcis, hvilke sikkerhedsforanstaltninger de har på plads. "Det skal opfylde standarderne for, hvad du vil ansætte internt," sagde han. Overvåg dit miljø
  • : Dette indebærer konstant selvdiagnostisering af systemerne og netværket for at sikre, at de fungerer og udfører som de skal være. "Du behøver ikke at være en cyberspecialist for at vide, at noget er forkert," sagde Pelgrin. "Din tarm er et godt første tegn på, at noget kan være forkert, og så skal du nå ud til dem, der har ekspertise til at diagnosticere, om du faktisk har været offer for en cyber hændelse." Pelgrin opfordrer også virksomheder at dedikere tid hver måned til at uddanne medarbejderne om vigtigheden af ​​cybersikkerhed og hvordan de kan sikre sig, at de ikke bidrager til lækager.
  • "Du vil gøre det rigtigt for medarbejderne, og den eneste måde at gøre det på er at tale om det og praktiserer det, "sagde han. Kosc mener, at et vigtigt skridt i at holde er at have nogle i organisationen, hvis hovedansvar er sikkerhed. " Det skal være noget, der er på en persons sind hver dag, for det er deres job, sagde han.

Mitigating the Damage

Kosc sagde, at virksomhederne bør have en klar strategi for, hvordan man skal håndtere brud, da mange eksperter mener, at det ikke er et spørgsmål om, om - men hvornår - man vil ske.

"Du vil have en plan på plads, før noget sådant sker," sagde Kosc. "Så når en begivenhed sker, ved du hvad du skal gøre, og hvordan du begrænser ansvaret så meget som muligt."

En del af planen er at vide, hvem der skal indkalde til hjælp. Pelgrin sagde i krisetider, at du ikke ønsker at bruge tid på at finde ud af, hvem der kan hjælpe dig.

"Du vil have disse relationer op foran og på plads," sagde Pelgrin.

Forsikringsudbydere er en forholdsvis ny kilde til hjælp til virksomheder. Inden for de sidste mange år har mange begyndt at tilbyde dataforbrydelsesforsikring.

Lynn LaGram, assisterende vicepræsident for små kommercielle tegningsoptioner i The Hartford, sagde, at de har tilbudt dataforsikringsforsikring siden 2011, og deres dækning kommer i to dele.

Den første dækker svarudgiften og kan betale for ting som anmeldende kunder efter en overtrædelse, etablering af kreditovervågning for effektive kunder, ansættelse af et PR-firma for at hjælpe med at reparere reputational damage og ansætte juridiske og retsmedicinske eksperter til at vurdere, om Der opstod et brud, og hvor det stammer fra.

LaGram sagde gennem The Hartford, at virksomhederne kan få mellem $ 10.000 og $ 100,00 værd af svardækning.

Den anden del dækker udgifter, som små virksomheder kan komme overfor, hvis der skal anlægges retssager mod dem af forbrugere, der havde stjålet oplysninger.

"Dette dækker borgerlige priser, bosættelser eller domme, som småforetagendet ejeren bliver lovligt forpligtet til at betale som res ultimat af et data brud, "sagde LaGram.

Kosc sagde, at de fleste civile retssager mod virksomheder, der har mistet data, har været ineffektive på dette tidspunkt, fordi forbrugerne i mange af disse situationer ikke kan bevise at tyverne har brugt deres stjålne information på nogen måde.

"Der har ikke været mange hidtil har det været lykkedes, fordi de skal kunne vise en faktisk skade, "sagde Kosc. "Selvom små virksomheder oprindeligt var langsomme til at overtage databrænkelsesforsikring, sagde LaGram flere af dem - især i lyset af sidstnævnte årets højprofilerede tilfælde - har tilføjet det til deres beskyttelse arsenal.

"Databrænkelse er et af vores mest solgte frivillige coverager," sagde hun.

Reparation af omdømme

For virksomhederne begynder at reparere deres omdømme og genopbygning af tillid efter en overtrædelse af data, sagde Pelgrin, at det er absolut nødvendigt, at de er på forhånd hos kunderne, når det sker, uanset hvad statslovgivningen kan diktere. "Jeg er stor tro på det er ikke, hvis der sker dårlige ting, men hvordan reagere, når der sker dårlige ting, "sagde han. "Det viser virksomhedens kvalitet, og det viser kvaliteten af ​​de personer, der arbejder for det pågældende selskab."

Pelgrin sagde, at det sidste, en virksomhed vil have, er tilfældet, er at overtrædelsens ord går ud seks måneder efter det skete og har kunderne tror, ​​at de ikke gjorde noget ved det, fordi de ikke behøvede det.

"Så er du i stand til at forsøge at retfærdiggøre, hvorfor du holdt fast på den information," sagde Pelgrin.

Nøglen er at advare kunderne så hurtigt som oplysningerne om bruddet er konkrete.

"Du ønsker ikke at sætte frygt i mennesker," sagde Pelgrin. "Du skal virkelig vide, hvad der skete, når du giver oplysningerne, det er meget klart, det er det, vi ved, dette er hvad der skete, og det er det, vi anbefaler, hvordan vi mildner det."

LaGram sagde, at små virksomheder skal forstå at det uden tvivl kan ske for dem.

"Små virksomhedsejere er målrettet langt højere end større operationer, fordi de er lettere at trænge ind," sagde hun. "Det er meget nemt, at det sker i en lille virksomhed."

Oprindeligt offentliggjort på Mobby Business.


Infografisk: Business Entity Selection Made Easy

Infografisk: Business Entity Selection Made Easy

Forstå, hvilken slags forretningsenhed der passer til dit nye venture kan være vanskelig. Udbetaling - et nyt, gratis og interaktivt websted, der bruger spildynamik til at hjælpe folk med at styre deres økonomiske liv - har skabt infografien nedenfor for at hjælpe små virksomheder og iværksættere med at beslutte, hvilket forretningsmæssigt format der bedst virker for dem.

(Forretning)

Dell Venue 11 Pro vs. Surface Pro 2: De bedste Windows 8.1 tabletter til virksomheder

Dell Venue 11 Pro vs. Surface Pro 2: De bedste Windows 8.1 tabletter til virksomheder

Hvis du er på markedet for en stærk, bærbar forretningsmaskine, er det svært at gå galt med en ny Windows 8,1 tablet. Microsofts Surface Pro-linje var den eneste mulighed for komplette Windows 8.1-tabletter. Men nu er Dell Venue 11 Pro-tableten, som blev lanceret i USA i denne uge, en seriøs konkurrent for business tablet-kronen.

(Forretning)