埃里克·布朗静电的| 2020年8月11日
汽车经销商是网络罪犯最喜欢攻击的目标。这是由于经销商通过他们的各种技术网络收集、处理和存储大量敏感客户数据。
2019年12月,汽车新闻报道称,“在平均日,153条病毒和84个恶意垃圾邮件通过技术在经销商的网络上阻止了。”但是,并非所有攻击都可以停止,汽车经销商是越来越多的网络犯罪损失的公司之一。Cybersecurity Ventures是该领域的领先研究员,预测全球每年的网络犯罪损失将达到6万亿美元到2021年。
新冠肺炎危机加剧了这些问题,增加了汽车经销商遭受网络攻击的风险。在新英格兰和周边地区,由于订单停留在家里,经销商被迫关闭了他们的展厅,但他们的服务部门被允许继续营业。我们的一个汽车客户告诉我们:“当我们完成服务人员的裁员时,服务部门仍然很忙,所以我们不得不恢复休假的员工。”
这种情况介绍了一个非常独特的情况,意思是IT运营的部分必须与有限的工作人员保持开放,而其余员工必须转换为远程工作过夜。经销商面临的最大挑战之一是将所有远程用户培养到新技术的可接受水平。他们还必须确保他们有效地和安全地使用它。
随着销售团队转向遥控环境,经销商必须审查与经销商管理系统的远程访问相关的安全流程和程序。网络犯罪分子不仅意识到,而且也积极瞄准了远程访问机密和敏感信息的工人。由于云中的安全协议增强了安全协议,投资于云举措的经销商处于遥控器中的转换为远程工作环境。
最有效的防御策略之一是拥有一个健壮的正在进行的企业IT安全意识计划。风险是真实存在的,而且随着对病毒的恐惧加剧,威胁与日俱增。从网络钓鱼攻击到员工使用个人电子设备进行工作所产生的危险,经销商必须比以往任何时候都更加警惕,以防范违规行为。值得注意的是,许多经销商没有针对远程工作员工的网络安全隐私政策。
经销商可以采取许多步骤来帮助降低成为网络攻击受害者的风险。
火车员工发现网络钓鱼攻击
“网络钓鱼”攻击是指网络罪犯试图通过欺诈性电子邮件获取用户名、密码和信用卡信息等敏感信息。该电子邮件可能会指示收件人在一个仿冒合法网站的虚假网站输入个人信息,或电子邮件可能包括一个附件,下载恶意软件到收件人的电脑上。
COVID-19危机加剧了此类袭击的风险,特别是对于在家工作的人。
为了帮助抵御威胁,经销商应制定和实施流程,帮助通知和培训员工防范此类网络钓鱼攻击,并提醒员工:
- 小心任何以冠状病毒为主题、寻求密码或社会安全号码等个人信息的电子邮件。政府机构和公司不会发送要求私人和机密信息的电子邮件。最安全的反应是不反应。
- 提醒员工,在他们收到可疑电子邮件的范围内,他们可以通过致电政府机构或涉嫌的公司发送电子邮件来验证电子邮件的真实性。
- 始终在下载或单击超链接之前验证电子邮件地址。例如,提醒员工可以通过将鼠标按钮悬停在URL上以查看它引导的位置来检查超链接。大多数时候,Web地址是否合法是明显的。
- 始终寻找电子邮件中拼写和/或语法错误的讲述迹象。大多数网络钓鱼电子邮件都是随意创建的,包括拼写,标点符号和语法错误。
- 寻找像“亲爱的先生或女士”或“亲爱的”等通知问候。网络钓鱼电子邮件通常批量发出,并不包括员工的实际名称。
- 对于一封要求你立即采取行动的邮件,不要感到有压力。网络钓鱼邮件试图说服你在没有充分考虑潜在风险的情况下采取行动。
使用个人设备的风险
远程工作的员工可以访问和传输来自无担保网络的敏感数据,这更容易受到攻击。因此,经销商处于更大的风险风险,以及国家的责任,联邦和/或国际隐私和数据通知法应该暴露敏感数据。在员工使用个人设备进行公司业务的范围内,风险化复合。但有些步骤可以,应该是最大限度地减少风险。
例如,远程员工可能试图在基于工作的计算机上下载或使用工具。但是允许员工这样不受限制的权限是不明智的,因为可用的恶意软件的可能性和范围。坏人只需要一个毫无戒心的员工就可以为他们提供进入经销商网络的后门。经销商应制定政策,允许远程员工使用可在远程计算机上下载和安装的软件。
经销商还应该使用安全系统,允许远程员工安全地访问敏感的公司数据、信息或远程应用程序。例如,经销商至少应该使用虚拟专用网络(VPN)来保护远程雇员计算机和经销商网络之间的数据和通信。或者,经销商可以使用零信任网络(ZTN),这可能包括多因素身份验证或推送通知身份验证,以批准或拒绝访问。
虽然vpn仍被广泛用于为远程员工提供网络安全,但据报道,ztn是一种安全得多的方法,因为它们平等地将每个人视为不可信的。考虑到当前的危机,以及未来可能出现更大的远程员工,为所有远程员工提供零信任是明智的,因为远程员工只要犯一个错误就会提供对系统的恶意参与者访问。
凭借更多员工,远程工作,这对经销商比以往任何时候都更加警惕,并在网络安全和数据隐私政策中更加警惕。经销商应明确,经常沟通和加强网络安全政策,并根据需要进行远程培训 - 以鼓励遵守它们。这样做将有助于防范昂贵的数据泄露。
免责声明: 本文中所包含的任何书面税务内容、意见或建议,仅限于本文具体规定的事项。该等内容、评论或建议可能基于税收法规、法规以及相关行政和司法解释,我们没有义务更新任何内容、评论或建议,以便对该等权力机构进行追溯性或前瞻性的变更。这一沟通的目的不是为了解决可能适用的罚款和利息,这是纳税人的责任,可能被施加不遵守税法。
