В то время как нарушения данных в гигантских ретейлерах как Цель и ТДЖ Макс захватывают центр внимания, это - столь же реалистический сценарий для предприятий малого бизнеса – и нападения на том уровне могут оказаться намного более разрушительными. Эксперты говорят владельцев малого бизнеса, которые не делают личную информацию клиентов защиты, которую высший приоритет мог скоро найти самих из операции.
"Я не знаю, как малые и средние компании могут пережить что-то вроде той величины", Уилл Пелгрин, президент и генеральный директор для Центра интернет-безопасности, сказал Business News Daily.
Джеффф Коск, партнер юридической фирмы Benesch, Фридлендер, Coplan & Aronoff LLP, сказал компании, что личные данные клиентов компромисса, такие как номера кредитной карточки и Номера социального страхования, стоят перед множеством затрат, не, всем из которых приложили точную сумму в долларах.
Одни из самых больших затрат прибывают из кредита и компаний дебетовой карты, у которых, Коск сказал, есть широкие полномочия и права в ситуациях с нарушением данных, особенно если это было обнаружено, что бизнес не выполнял инструкции промышленности платежной карточки (PCI). Инструкции PCI управляют определенными мерами безопасности, которые должны придерживаться к компаниями, которые принимают кредит и дебетовые карты.
"Если есть нарушение PCI, они имеют права на штрафы уровня на продавцах", сказал Коск относительно компаний дебетовой карты и кредита. "Они также наделены правом в соответствии с теми соглашениями с возвратным платежом любые мошеннические обвинения, которые имеют место на чьей-либо карте в результате нарушения данных".
В дополнение к выплате компаний кредитной карты компании несут расходы, связанные с приведением в готовность потребителей нарушения, оплаты их услуг по контролю кредита, исследования, как нарушение произошло и делание дополнительных шагов, чтобы гарантировать, что это не происходит снова.
Недавнее исследование от Института Ponemon и Symantec оценивает, что стоит компаниям потерянных 188$ за отчет.
Коск сказал, что много компаний в этих ситуациях также сталкиваются с потерей в производительности, потому что сотрудники более сосредоточены на разгребании бардак, чем они находятся на нормальных ежедневных обязанностях.
"Ты разделяешь всех от их регулярных должностных обязанностей иметь дело с нарушением данных", сказал он.
В зависимости от объема нарушения Коск сказал, что компании также получают потенциальные штрафы от Федеральной торговой комиссии. Он указал на ТДЖ Макса как на пример, который был вынужден выплатить больше чем $9 миллионов в штрафах больше чем 40 различным генеральным прокурорам после его нарушения в 2007.
В дополнение к твердым затратам компании также терпят потенциально бесценный ущерб к своей репутации и доверию.
"Есть сообщество людей, у которых есть отношения, которым доверяют, с тобой, и это может быть подвергнуто опасности", сказал Пелгрин. "Как ты выздоравливаешь от всего этого, может быть очень трудным".
[Для бок о бок сравнения лучших программ антивирусного программного обеспечения, посети наш родственный сайт TopTenReviews.]
Защита твоего бизнеса
Одна проблема состоит в том, что многие думают, что из-за их размера, предприятия малого бизнеса не цель киберпреступников.
"Мы склонны думать, что это не произойдет с нами, потому что мы слишком маленькие, и что они действительно смотрят на большее (компании), и это не имеет место", сказал он. "Все под постоянной атакой в этом пункте".
Так как киберпреступники стали столь эффективными в последние годы, Пелгрин сказал, что даже с лучшими мерами безопасности в месте, нет никаких компаний гарантий, будет безопасным.
"Там нет серебряной пули", сказал Пелгрин. "Лучшее, которое ты можешь сделать, должно быть максимально прилежным и бдительным, чтобы гарантировать, что ты сделал все в своей власти быть столь безопасным, как ты можешь быть".
Чтобы защитить потребительские данные как можно больше, Пелгрин советует компаниям делать несколько шагов:
- Знай свою среду: Это означает брать инвентарь всего аппаратного и программного обеспечения, которое ты имеешь, а также какой версией каждый управляет. Чтобы защитить себя, ты должен знать точно, чем ты владеешь. "Каковы твои активы, какова твоя инфраструктура, похожие, какова твоя сеть, похожие?" Пелгрин сказал. "Может быть известная уязвимость, и ты даже не мог бы думать, что это в пределах твоей инфраструктуры и без ведома тебе, это может быть полностью позволено всюду по твоей инфраструктуре и для этого созданию тебя очень уязвимое для нападения".
- Обеспечь свою среду: Принеси твоим аппаратным средствам, программному обеспечению и сети до высшего уровня безопасности. Пелгрин сказал, когда предприятия малого бизнеса покупают новое аппаратное и программное обеспечение, у них не всегда есть последние меры безопасности на них. Он сказал, что важно, что компании проверяют каждый элемент оборудования и загружают все последние участки безопасности. Кроме того, он сказал, что все параметры настройки безопасности должны быть подняты, насколько они могут быть, не препятствуя операциям.
- Управляй своей средой: Пелгрин сказал, что обязательно, чтобы компании не предоставляли весь свой общий доступ сотрудников к их сети и данным. Он сказал, что у сотрудников не должно быть доступа к более высоким уровням администрации тогда, они нуждаются и не должны быть позволены загрузить ничего, что они хотят отовсюду, они хотят. "У большинства твоих сотрудников не должно быть полного административного доступа к их машинам", сказал Пелгрин. "Тот административный доступ должен быть ограничен очень немногими людьми, которым доверяют". Кроме того, компании хотят гарантировать компании и продавцов, с которыми они работают, также имеют строгие уровни безопасности. Пелгрин сказал, что важно иметь документацию от организаций, к которым ты производишь части на стороне своего бизнеса на точно, какие меры безопасности они имеют в распоряжении. "Это должно соответствовать стандартам того, что ты использовал бы внутренне", сказал он.
- Контролируй свою среду: Это включает постоянно самодиагностирование систем и сети, чтобы гарантировать, что они действуют и выступают, как они должны быть. "Ты не должен быть кибер экспертом, чтобы знать, что что-то неправильное", сказал Пелгрин. "Твой пищеварительный тракт - большой первый знак, что что-то может быть неправильным, и затем ты должен обратиться к тем, у которых есть экспертные знания, чтобы помочь диагностировать, был ли фактически ты жертвой кибер инцидента".
Pelgrin также поощряет компании посвящать время каждый месяц, чтобы обучить сотрудников на важности кибербезопасности и как они могут удостовериться, что не способствуют утечкам.
"Ты хочешь сделать его реальным для сотрудников и единственного способа сделать, который должен говорить об этом и практиковать его", сказал он.
Коск полагает, что у ключевого шага в хранении есть некоторые в организации, главная ответственность которой - безопасность.
"Это должно быть что-то, что каждый день находится на чьем-то уме, потому что это - их работа", сказал он.
Смягчение повреждения
Коск сказал, что у компаний должна быть четкая стратегия относительно того, как иметь дело с нарушением, так как много экспертов полагают, что это не вопрос того, если – но когда – каждый произойдет.
"Ты хочешь иметь в распоряжении план, прежде чем что-то вроде этого произойдет", сказал Коск. "Таким образом, когда случай действительно происходит, ты знаешь, что сделать и как ограничить ответственность как можно больше".
Часть того плана знает, кого звать на помощь. Пелгрин сказал во времена кризиса, ты не хочешь должным быть проводить время, выясняя, кто может помочь тебе.
"Ты хочешь иметь те отношения фронт и в месте", сказал Пелгрин.
Страховые компании - относительно новый источник помощи для компаний. В течение прошлых нескольких лет многие начали предлагать страховку нарушения данных.
Линн Лэгрэм, заместитель вице-президента маленького коммерческого подписания в The Hartford, сказала, что они предлагали страховку нарушения данных с 2011, и их освещение прибывает в две части.
Первое покрывает расходы ответа и может заплатить за вещи, такие как уведомление клиентов после того, как нарушение происходит, настраивая кредит, контролирующий для произведенных клиентов, нанимая фирму связей с общественностью, чтобы помочь возмещать репутационные убытки и найм юридических и судебных экспертов к задницам, происходило ли нарушение действительно и куда это прибыло из.
Лэгрэм сказал через The Hartford, компании могут добраться между ценностью и за 10,000$ 100,00$ освещения ответа.
Вторые предприятия малого бизнеса расходов покрытий части могут стоять, должен любые судебные процессы быть принесенным против них потребителями, которым украли информацию.
"Это покрывает гражданские премии, урегулирования или суждения, что владелец малого бизнеса стал бы по закону обязанным заплатить в результате нарушения данных", сказал Лэгрэм.
Коск сказал самые гражданские судебные процессы, принесенные против компаний, которые проиграли, данные были неэффективными в этом пункте, потому что во многих из этих потребителей ситуаций не может доказать, что воры использовали свою украденную информацию в любом случае.
"Не было многих до сих пор, которые были успешными, потому что они должны быть в состоянии показать фактический вред", сказал Коск. "Пока ты не можешь обеспечить, фактическое повреждение было получено, (суд) не может возместить тебе убытки".
В то время как предприятия малого бизнеса первоначально не спешили принимать страховку нарушения данных, Лэгрэм сказал, что больше из них – особенно в свете прошлогодних высоких случаев профиля - добавляло его к их арсеналу защиты.
"Нарушение данных - одна из наших продающих самым высоким образом дополнительных оценок", сказала она.
Восстановление репутации
Для компаний, чтобы начать восстанавливать их репутацию и восстанавливать доверие после нарушения данных, Пелгрин сказал, что обязательно, чтобы они были первичными с клиентами, когда это происходит, независимо от того, что могут продиктовать государственные законы.
"Я - крупный сторонник, он не, если плохие вещи происходят, а как ты реагируешь, когда плохие вещи происходят", сказал он. "Это показывает качество компании и который показывает качество людей, которые работают на ту компанию".
Пелгрин сказал последнюю вещь, которую бизнес хочет иметь, происходят, для слова нарушения, чтобы выйти спустя шесть месяцев после того, как это произошло, и сделай, чтобы клиенты думали, что они ничего не делали с этим, потому что они не имели к.
"Тогда ты в состоянии попытки оправдать, почему ты держался за ту информацию", сказал Пелгрин.
Ключ приводит в готовность клиентов так же быстро, как информация о нарушении конкретная.
"Ты не хочешь помещать страх в людей", сказал Пелгрин. "Ты действительно должен знать то, что произошло поэтому, когда ты даешь информацию, очень ясно, что это - то, что мы знаем, это - то, что произошло, и это - то, что мы рекомендуем, как смягчить его".
Лэгрэм сказал, что предприятия малого бизнеса должны понять, что это, несомненно, могло произойти с ними.
"Владельцы малого бизнеса предназначены для намного более высокого темпа, чем большие операции, потому что через них легче проникнуть", сказала она. "Для него очень легко произойти в урегулировании малого бизнеса".
Первоначально изданный на Business News Daily.
