Computerworld News Service: De store virksomheder - i det mindste en væsentlig andel af dem - har tilsyneladende fulgt rådet fra it-sikkerhedseksperterne gennem årene og investeret nok i den digitale sikkerhed til, at det nu er blevet for besværligt, dyrt eller risikabelt for de datakriminelle at angribe dem.
Derfor går de datakriminelle ifølge Verizons 2012 Data Breach Investigations Report (pdf) efter lettere og sikrere mål ved at angribe mindre virksomheder.
Rapporten omhandler "en undersøgelse udført af Verizon RISK Team i samarbejde med Australian Federal Police, Nederlandenes National High Tech Crime Unit, Irish Reporting and Information Security Service, Englands Police Central e-Crime Unit og United States Secret Service."
Verizons security research director, Wade Baker, udtaler til den engelske avis The Inquirer, at datakriminelle masseproducerer deres angrebsteknikker og går efter små og mellemstore virksomheder (SMV'er).
Fra Verizons Security Operations Center i Dortmund i Tyskland bemærker Baker, at SMV'er er "lette mål" for organiseret datakriminalitet sammenlignet med store virksomheder.
Risikoen er for høj
"De datakriminelle har regnet ud, at hvis deres mål er at tjene penge, så er det en løsning, der er forbundet med høj risiko, at angribe en stor virksomhed, som er godt beskyttet, og sandsynligvis har forbindelser til politiet, der vil sætte gang i en grundig efterforskning."
Et masseproduceret, kommercialiseret angreb mod mindre virksomheder med færre beskyttelsesforanstaltninger er derimod kun forbundet med en "meget lav risiko," advarer Baker.
Hvad kan de små og mellemstore virksomheder så gøre ved sagen, kunne man med rette spørge. De har selvfølgelig ikke det samme niveau af ressourcer til rådighed som store virksomheder, men den potentielle omkostning ved kompromitterede data betyder, at de ikke har råd til at se bort fra risiciene.
I et blogindlæg for nylig henviser medarbejder hos Symantec Dal Gemmell til undersøgelsen Cost of a Data Breach fra 2011 udført af Symantec og Ponemon Institute, hvori det estimeres, at "den gennemsnitlige omkostning for en organisation i forbindelse med et brud på datasikkerheden sidste år var 32 millioner kroner, mens omkostningerne per kompromitterede journal lå på 1.130 kroner."
Sådan får du nemt overblik over sikkerheden
SMV'er har dog udmærket råd til en anseelig beskyttelse med "en risikobaseret tilgang til håndtering af trusler," vurderer Mark Baldwin, der er ledende analytiker og konsulent hos InfosecStuff.
"Denne tilgang kan koges ned til, at man afgør hvilke trusler, der udgør den største risiko for forretningen."
Baldwin oplyser at have gjort omfattende brug af oplysninger fra Verizon-rapporten i en risikovurdering for nylig for en SMV, hvor han rangerede risiciene på følgende måde:
- Sårbarhedsstyring: Find og afhjælp softwaresårbarheder på servere og desktoppe. Fokuser på kritiske systemer først og glem ikke tredjeparts-applikationerne.
- Beskyttelse af slutpunkter: Brug antivirus-software, værktøjer til opdagelse og forhindring af netværksindtrængning, værtsbaserede firewalls, scanning af e-mail samt teknologi til websikkerhed.
- Regler om stærke kodeord: Håndhæv stringent, at standardkodeord bliver ændret, at man ikke deler sine kodeord med hinanden, at man bruger komplekse kodeord og at man jævnligt ændrer dem.
- Sikkerhedsoplysning: Oplær medarbejderne i virksomhedens sikkerhedsregler og oplys dem om de mest almindelige trusler. Sørg for, at de ved, hvordan de skal reagere på mistænkelig aktivitet, hvordan de genkender social engineering-angreb og hvordan de bruger deres computere på en sikker måde.
- Adgangskontrol: Minimer antallet af medarbejdere med administratorprivilegier.
- Hav en plan på plads til at reducere effekten af denial of service-angreb: Dette er helt essentielt for enhver virksomhed, der er afhængig af internettet.
Selv med alle disse foranstaltninger kan man selvfølgelig ikke fuldstændigt gardere sig imod kompromitteringer. Men som tidlige flådeadmiral og chef for National Security Agency Mike McConnell bemærkede under en debat om cyberspionage for nylig, så kan erhvervslivets sikkerhedsrisici nedsættes med 85 procent blot ved hjælp af "god cyberhygiejne."
Oversat af Thomas Bøndergaard
