Розстановка пріоритетів у кібербезпеці

Photo by qimono on Pixabay

Компроміс розповсюдженого програмного забезпечення SolarWinds змушує всіх замислитися більш про кібербезпеку. Це добре — компанії недостатньо думають про кібербезпеку. Вони мають свої щоденні справи, та кібербезпека здається нереальною загрозою. Цей компроміс, однак, має такий ж ефект як авіакатастрофа — люди гадають про драматичні ризики більш ніж гадають про ймовірні. У 2020 році, більш мільйона людей загинуло в автокатастрофах, та менше чотирьохсот загинуло в авіакатастрофах. Авіакатастрофи ж, як компроміс SolarWinds, були в новинах, тому ця проблема отримує увагу.

Найчастіший метод кібератаки

Хакери доставили шкідливе програмне забезпечення через оновлення SolarWinds. Якщо ви маєте програмне забезпечення, через новини SolarWinds ви побоювалися б таких оновлень. Однак, 94 відсотки шкідливих програмних забезпечень доставляється через електронну пошту, а не через оновлення. Зазвичай, електронна пошта складає 80 відсотків кіберінцидентів. Тому краще не зосереджуватися на оновленні програмного забезпечення, доки ви не маєте загрози в електронній пошті під контролем.

Найважливіші захисти для організацій

Шкідливе програмне забезпечення у SolarWinds було новим. Виявлення та виправлення незнайомих вразливостей (називається нульовим днем), це є важливою проблемою. Однак у 2012 році 80 відсотків кіберінцидентів відбувалося через ненадійні паролі. У 2020 році 60 відсотків кіберінцидентів стосувалося вразливості, для яких існувало рішення, що не використовувалося. Незнайомі вразливості не є найбільшою проблемою. Якщо ваша організація має погані паролі або знайомі вразливості, то краще та легше виправити ці слабкості завчасно.

Загальна рекомендація

Новини зосереджуються на найдраматичніших подіях. Ця інформація не допомагає нам визначати справжній ризик. Для цього треба глибше дізнатися про тему, яка має ризик. Ця тема може бути транспортуванням чи кібербезпекою. Рахуйте інциденти та зрозумійте вплив. Не прийміть рішення тільки через один інцидент у новинах.

I write about computer science, computer security, and cyber policy.

I write about computer science, computer security, and cyber policy.