Datenmissbrauch in kleinen Unternehmen: Minderung des Schadens

Während Datenbrüche bei gigantischen Einzelhändlern wie Target und TJ Maxx im Rampenlicht stehen, ist das Szenario für kleine Unternehmen genauso realistisch - und die Angriffe auf diesem Niveau können sich als weitestgehend bewähren verheerender. Experten sagen, dass Kleinunternehmer, die den Schutz der persönlichen Daten ihrer Kunden nicht in den Vordergrund stellen, bald außer Betrieb gesetzt werden könnten.

"Ich weiß nicht, wie kleine und mittlere Unternehmen so etwas überleben können" Will Pelgrin, Präsident und CEO des Center for Internet Security, sagte Mobby Business.

Jefff Kosc, ein Partner der Anwaltskanzlei Benesch, Friedlander, Coplan & Aronoff LLP, sagte Unternehmen, die persönliche Daten der Kunden, wie Kreditkarten- und Sozialversicherungsnummern sind mit einer Vielzahl von Kosten konfrontiert, von denen nicht alle einen genauen Dollarbetrag haben.

Eine der größten Kosten kommt von den Kredit- und Debitkartenfirmen, die, wie Kosc sagte, weitreichende Befugnisse haben und Rechte in Fällen von Datenverstößen, insbesondere wenn festgestellt wurde, dass das Unternehmen die Bestimmungen der Zahlungskartenindustrie (PCI) nicht einhält. Die PCI-Vorschriften regeln die spezifischen Sicherheitsmaßnahmen, die von Unternehmen, die Kredit- und Debitkarten akzeptieren, eingehalten werden müssen.

"Wenn es einen Verstoß gegen PCI gibt, haben sie das Recht, Geldstrafen für Händler zu verhängen", sagte Kosc über die Kredit- und Debitkarte Kartenunternehmen. "Sie haben im Rahmen dieser Vereinbarungen auch das Recht, betrügerische Abbuchungen zu verrechnen, die aufgrund der Datenverstöße auf der Karte einer beliebigen Person erfolgen."

Zusätzlich zur Rückzahlung der Kreditkartenunternehmen entstehen den Unternehmen Kosten, die mit der Warnung der Verbraucher der Verletzung, Zahlung für ihre Kreditüberwachung Dienstleistungen, zu untersuchen, wie die Verletzung aufgetreten ist und zusätzliche Schritte, um sicherzustellen, dass es nicht wieder passiert.

Aktuelle Forschungsergebnisse aus dem Ponemon Institute und Symantec schätzt, dass es Unternehmen $ 188 pro verlorenen Datensatz kostet.

Kosc sagte, dass viele Unternehmen in diesen Situationen auch einen Produktivitätsverlust hinnehmen müssen, weil die Mitarbeiter mehr auf die Säuberung des Chaos als auf die normalen täglichen Aufgaben achten.

"Sie ziehen jeden von seinen normalen Aufgaben weg um mit einer Datenverletzung fertig zu werden ", sagte er.

Je nach Umfang des Verstoßes sagte Kosc, dass Unternehmen auch mögliche Geldstrafen von der Federal Trade Commission ausgesetzt sind. Als Beispiel nannte er TJ Maxx, der nach seinem Verstoß im Jahr 2007 gezwungen war, mehr als 40 verschiedene Anwälte mit mehr als 40 Millionen Bußgeldern zu bestrafen.

Zusätzlich zu den harten Kosten leiden Unternehmen auch an potenziell unbezahlbaren Schäden zu ihrem Ruf und Vertrauen.

"Es gibt eine Gemeinschaft von Menschen, die eine vertrauensvolle Beziehung mit Ihnen haben und die gefährdet sein kann", sagte Pelgrin. "Wie Sie sich von all dem erholen, kann sehr schwierig sein."

Schützen Sie Ihr Geschäft

Ein Problem ist, dass viele denken, dass Kleinunternehmen aufgrund ihrer Größe kein Ziel von Cyberkriminellen sind.

"Wir tendieren zu denken, dass es uns nicht passieren wird, weil wir zu klein sind, und dass sie wirklich auf die größeren (Unternehmen) schauen, und das ist nicht der Fall ", sagte er. "Jeder wird zu diesem Zeitpunkt ständig angegriffen."

Da Cyberkriminelle in den letzten Jahren so effektiv geworden sind, sagte Pelgrin, dass es selbst mit den besten Sicherheitsmaßnahmen keine Garantien gibt, dass Unternehmen sicher sind.

"Da Das ist keine Silberkugel da draußen ", sagte Pelgrin. "Das Beste, was Sie tun können, ist, so gewissenhaft und wachsam wie möglich zu sein, um sicherzustellen, dass Sie alles getan haben, um so sicher wie möglich zu sein."

Um Verbraucherdaten so gut wie möglich zu schützen, rät Pelgrin Unternehmen Führen Sie mehrere Schritte aus:

• Kennen Sie Ihre Umgebung : Dies bedeutet, dass Sie die gesamte Hardware und Software, die Sie haben, sowie die jeweils laufende Version inventarisieren. Um sich zu schützen, müssen Sie genau wissen, was Sie besitzen. "Was sind Ihre Stärken, wie sieht Ihre Infrastruktur aus, wie sieht Ihr Netzwerk aus?" Sagte Pelgrin. "Es kann eine bekannte Sicherheitslücke geben, und Sie glauben vielleicht nicht einmal, dass dies innerhalb Ihrer Infrastruktur liegt und ohne dass es Ihnen bekannt ist, dass es in Ihrer gesamten Infrastruktur aktiviert ist und Sie dadurch sehr anfällig für Angriffe werden."
• Sichern Sie Ihre Umgebung : Bringen Sie Ihre Hardware, Software und Ihr Netzwerk auf ein Höchstmaß an Sicherheit. Pelgrin sagte, wenn kleine Unternehmen neue Hardware und Software kaufen, haben sie nicht immer die neuesten Sicherheitsmaßnahmen. Er sagte, es sei wichtig, dass Unternehmen jedes Gerät prüfen und die neuesten Sicherheitspatches herunterladen. Darüber hinaus sagte er, dass alle Sicherheitseinstellungen so weit wie möglich aufgezeigt werden sollten, ohne den Betrieb zu behindern.
• Kontrolliere deine Umgebung : Pelgrin sagte, es sei unerlässlich, dass Unternehmen nicht allen ihren Mitarbeitern vollen Zugriff gewähren ihr Netzwerk und ihre Daten. Er sagte, Mitarbeiter sollten keinen Zugang zu höheren Verwaltungsebenen haben, als sie brauchen, und sollten nicht das herunterladen dürfen, was sie wollen, wo immer sie wollen. "Die meisten Ihrer Mitarbeiter sollten keinen vollständigen administrativen Zugang zu ihren Maschinen haben", sagte Pelgrin. "Dieser administrative Zugang sollte auf sehr wenige vertrauenswürdige Personen beschränkt sein." Darüber hinaus möchten Unternehmen sicherstellen, dass die Unternehmen und Anbieter, mit denen sie arbeiten, auch ein hohes Sicherheitsniveau haben. Pelgrin sagte, dass es entscheidend ist, dass die Dokumente, von denen Sie Teile Ihres Unternehmens auslagern, genau dokumentiert sind, welche Sicherheitsmaßnahmen sie haben. "Er muss die Standards dessen erfüllen, was Sie intern einsetzen würden", sagte er.
• Überwachen Sie Ihre Umgebung : Dies beinhaltet die ständige Selbstdiagnose der Systeme und des Netzwerks, um sicherzustellen, dass sie so funktionieren und funktionieren, wie sie sein sollten. "Sie müssen kein Cyber-Experte sein, um zu wissen, dass etwas nicht stimmt", sagte Pelgrin. "Ihr Bauchgefühl ist ein großartiges erstes Anzeichen dafür, dass etwas nicht in Ordnung ist, und dann müssen Sie diejenigen erreichen, die über Fachwissen verfügen, um zu diagnostizieren, ob Sie tatsächlich Opfer eines Cyber-Vorfalls geworden sind."

Pelgrin ermutigt auch Unternehmen jeden Monat Zeit zu widmen, um die Mitarbeiter auf die Wichtigkeit der Cybersicherheit vorzubereiten und sicherzustellen, dass sie nicht zu Lecks beitragen.

"Sie wollen es für die Mitarbeiter schaffen und der einzige Weg ist, darüber zu reden es und übe es ", sagte er.

Kosc glaubt, dass ein wichtiger Schritt darin besteht, etwas in der Organisation zu haben, deren Hauptverantwortung die Sicherheit ist.

" Es muss etwas sein, das jeden Tag jemanden beschäftigt, denn das ist ihr Job ", sagte er.

Entschärfung des Schadens

Kosc sagte, dass Unternehmen eine klare Strategie haben sollten, wie sie mit einem Verstoß umgehen sollten, da viele Experten der Meinung sind, dass es nicht darum geht, ob - aber wann - ein Fall eintreten wird

"Du willst einen Plan haben, bevor so etwas passiert", sagte Kosc. "Wenn also ein Ereignis eintritt, wissen Sie, was zu tun ist und wie Sie die Haftung so weit wie möglich begrenzen können."

Teil dieses Plans ist es, zu wissen, wen man um Hilfe rufen soll. Pelgrin sagte in Krisenzeiten, du willst nicht Zeit damit verbringen, herauszufinden, wer dir helfen kann.

"Du willst diese Beziehungen im Voraus und an Ort und Stelle haben", sagte Pelgrin.

Versicherungsanbieter sind eine relativ neue Quelle der Hilfe für Unternehmen. In den letzten Jahren haben viele Unternehmen damit begonnen, eine Datenschutzversicherung anzubieten.

Lynn LaGram, stellvertretende Vizepräsidentin für Kleinkredite bei The Hartford, sagte, dass sie seit 2011 eine Datenschutzversicherung anbieten und ihre Berichterstattung in zwei Teilen erfolgt.

Die erste deckt die Antwortkosten ab und kann für Dinge wie die Benachrichtigung von Kunden nach einem Verstoß, die Einrichtung einer Kreditüberwachung für betroffene Kunden, die Einstellung einer PR-Firma zur Reparatur von Reputationsschäden und die Einstellung von juristischen und forensischen Experten, um zu beurteilen, ob eine Verletzung trat auf und wo es herkam.

LaGram sagte durch das Hartford, Geschäfte können zwischen $ 10,000 und $ 100,00 im Wert der Antwortabdeckung erhalten.

der zweite Teil deckt Ausgaben kleine Geschäfte können Gesicht, wenn irgendwelche Klagen gebracht werden gegen sie von Verbrauchern, die Informationen gestohlen hatten.

"Dies umfasst zivile Auszeichnungen, Vergleiche oder Urteile, die der Inhaber des Kleinunternehmens gesetzlich verpflichtet werden würde, als Res zu zahlen einer Datenverletzung ", sagte LaGram.

Kosc sagte, dass die meisten Zivilklagen gegen Unternehmen, die Daten verloren haben, zu diesem Zeitpunkt unwirksam waren, da Verbraucher in vielen dieser Situationen nicht beweisen können, dass die Diebe ihre gestohlenen Informationen in irgendeiner Weise verwendet haben.

"Es gab nicht viele so weit, dass sie erfolgreich waren, weil sie in der Lage sein müssen, einen tatsächlichen Schaden zu zeigen ", sagte Kosc. "Bis Sie eine tatsächliche Verletzung erlitten haben, kann (ein Gericht) Ihnen keinen Schadenersatz gewähren."

Während kleine Unternehmen ursprünglich langsam waren, um eine Datenschutzversicherung abzuschließen, sagte LaGram mehr von ihnen - vor allem angesichts der letzten "

" Datenschutzverletzungen gehören zu unseren meistverkauften optionalen Berichten ", sagte sie.

Reputation Reparieren

Damit Unternehmen Reputation reparieren können Nach einer Datenpanne müsse Pelagin das Vertrauen wiederherstellen und sagte, es sei unabdingbar, dass sie im Vorbeigehen den Kunden gegenüberstehen, ungeachtet dessen, was staatliche Gesetze diktieren.

"Ich glaube nicht daran, dass schlimme Dinge passieren, sondern wie du reagieren, wenn schlimme Dinge passieren ", sagte er. "Das zeigt die Qualität des Unternehmens und das zeigt die Qualität der Personen, die für dieses Unternehmen arbeiten."

Pelgrin sagte, das letzte, was ein Unternehmen will, ist, dass sechs Monate nach dem Ende des Gesetzes ein Bruch kommt aufgetreten und haben Kunden denken, dass sie nichts getan haben, weil sie nicht müssen.

"Dann sind Sie in der Lage, zu rechtfertigen, warum Sie an dieser Information festhalten", sagte Pelgrin.

Der Schlüssel ist Kunden so schnell zu alarmieren, wie die Informationen über die Verletzung konkret sind.

"Sie möchten keine Angst in die Leute bringen", sagte Pelgrin. "Sie müssen wirklich wissen, was passiert ist, wenn Sie die Informationen geben, ist es sehr klar, dass das ist, was wir wissen, das ist, was passiert ist, und das ist es, was wir empfehlen, es zu mildern."

LaGram sagte Kleinunternehmen müssen verstehen dass ihnen das zweifellos passieren könnte.

"Kleinunternehmer sind auf ein viel höheres Tempo als größere Betriebe ausgerichtet, weil sie leichter zu durchdringen sind", sagte sie. "Es ist sehr einfach, dass es in einem kleinen Geschäftsumfeld passiert."

Ursprünglich in Mobby Business veröffentlicht.

Small Business Snapshot: Voodoo Manufacturing

Unsere Small Business Snapshot-Serie enthält Fotos, die in nur einem Bild darstellen, worum es bei den kleinen Unternehmen geht. Max Friefeld, Mitbegründer und CEO von Voodoo Manufacturing, erklärt, wie dieses Image sein Geschäft darstellt. Voodoo Manufacturing ist eine Software-fähige, hochvolumige 3D-Druckerei.

(Geschäft)

Small Business Snapshot: Dreadlock Tarot

Firmenname: Dreadlock Tarot Website: dreadlocktartot.com Gegründet: 2014 Intuitive Berater Ashley Oppon erzählte die Geschichte hinter Dreadlock Tarot, einem professionellen Tarot-Lese-Geschäft. Mit meinen Kunden benutze ich oft das Alice Tarot - oben abgebildet - das ist eines meiner Lieblings-Tarot-Decks.

(Geschäft)