大型零售商(如家庭仓库或目标)的大部分数据攻击可能会获得大部分头条新闻,但较小的公司将自己发现自己是黑客或数据违规的侵害。作为最后一个小组’S的美国货运协会管理会议,包括卡车公司。

在德克萨斯州埃尔帕索的一个150卡车长途舰队中,共享一个150卡车长途舰队,分享了与常规卡车司机应用程序附加的简历如何看起来实际上托管了一个恶意的软件,或者“malware,”通过其系统猖獗。该公司必须为外部公司付出很多钱来做“forensic recovery”它的数据。然后发现谁偷了数据正在呼唤超过’S经纪人,在其名称下预订负载并坚持现金预付款。但当然,负载从未被拿起。

企业需要固体程序和政策,以保护自己及其与这些威胁的数据。

“在IT行业中,黑客是每天发生的,”Penske卡车租赁的高级副总裁Mike Krut说Mike Krut。“We’通过围绕我们的客户建立了我们的组织’我们的数据安全。”这些努力是一个“large focus” of the company’他说,高级领导,“因为我们品牌的完整性是通过我们可以保护数据的方式来衡量的。 ”

Southeantern Freight Line的企业规划与发展高级副总裁Woody Lovelace表示“数据安全是我们在持续的基础上查看的东西,所以我们做的事情落入最佳实践。它’几乎是永恒的活动,堵漏孔”和教育员工。

保护您的数据超出防范欺诈。

“数据是展示了公司的健康和盈利能力,”软件提供商运营商物流副总裁凯文联盟说。“我们最关心的两件事是[首先],将这些信息脱离了那些没有经营信息的人的手中,而第二个,确保没有人能够做出影响公司的事情’我们做生意的能力—换句话说,一个黑客。”

系统黑客或数据安全漏洞’T必须涉及盗窃,对您的业务产生巨大影响。

“一家公司变得如此依赖于数据和技术,如果他们失去对数据或系统一天或更长时间的访问,那将如何影响他们的业务?”询问Marc C. Tucker,一名专门从事数据安全的律师,与公司史密斯摩尔·皮革木材,Raleigh,N.C。如果是公司’S系统已延长较长,如果可以的话,有明确的财务分支’T调度卡车几个小时或几天。

那里有什么类型的威胁?

公司有各种方式’S系统可能会受到损害,从网络钓鱼电子邮件到内部糟糕的演员到外部黑客。有些公司已经采取了他们的系统“hostage”然后,谁要求赎金将系统带回来。那’发生在发生的事情的一部分,但是当他们称之为所谓的赎回者提供的数字时,他们就没有了’t reach anyone.

Penske副总裁Scott Bortzel在Penske举办的副总裁说,他的公司是“看到大量的电子邮件提供恶意软件或网络钓鱼攻击。”只有现在,这些电子邮件攻击已经变得更加复杂,博多特尔呼叫“spear phishing” —一个有针对性的攻击,涉及攻击者的一些研究,以了解高级公司高管的名称,然后将信息传授给那个人或使它看起来像是来自目标所知道的人。

“任何公司都是潜在的目标,” he adds, “尤其是处理信用卡交易的公司。”

Lovelace表示,SEFL最担心的威胁来自授予人们的需求来获得系统。“有一个细线可以让人们在公司获得他们需要的数据,而不会使自己达到盗版或恶意软件。我认为网络以外的人腐败文件的能力可能是让它在夜间保持困境。”

员工是公司的重要组成部分’S Cyber​​策略,无论好坏。“我在员工上过来讲述的事情之一:他们可以成为链条中最强的链接,它们可以是最薄弱的联系– it goes both ways,” Tucker says. “It’最大的敞开门用于数据问题九次10。”

政策与程序

确保员工没有’T点击错误的电子邮件意味着建立和执行关于网络访问和数据使用的严格策略。 Lovelace说,包括大量培训。“当有人突出时,他们必须在访问我们的网络上进行培训。在那之后正在进行教育。”

虽然他的公司’S IT部门在这个领域取得了领先地位,有最终用户有助于维护安全系统–例如,他们使用电子邮件的方式。“我们推出了公告,提醒人们应该做的事情。”

强大政策的另一部分是限制对系统的访问权限。 Lovelace说,在东南部,不是每个人都可以访问系统的所有部分。 Associates和Drivers可以访问特定于其工作职责。还有一个正式的批准程序,以获得额外访问。

其他步骤公司可以包括登录标准,网络标准,审计要求,以检查谁访问了什么,授权标准,强制密码更改(包括移动设备和车载计算机)以及在防火墙,垃圾邮件过滤器方面的最佳实践, 等等。

在Penske租赁,Krut说,除了这些程序外,每个人都签署了关于它使用的行为准则。

“让门锁定和唐’表明那些不的人’T需要访问键的位置,” Linardic says. “你只给钥匙给需要通过那门的人。”此外,请确保您进行定期审核,以便您知道谁使用该密钥。

It’重要的是,每个人都可以从顶部向上所购买这些程序,Tucker说。“数据管理和网络安全不仅仅是一个问题 ’公司问题。如果存在数据泄露,它会影响整个公司,而不仅仅是IT部门。”

使用外部顾问

许多公司建议使用安全顾问。外部顾问“帮助我们考虑我们可能没有考虑的漏洞,”Lovelace说。即使他的公司在内部拥有这样的专业知识,他们觉得在外面的帮助下留在威胁的不断变化的性质之外,他们感到很重要。

Krut同意与第三方安全专家合作是载体需要考虑的东西。“它可以看出您可能不知道的新威胁和趋势。”

除了与外部专家合作外,还有一个明确的行动计划,当发生数据违规时也很重要。

“如果您想到汽车运营商,大多数运营商都有事故响应计划,” Tucker says. “如果车辆发生意外,他们就不会’不得不考虑该做什么–他们知道该怎么做。他们有与他们的保险公司,律师,调整机,事故重建分子等设置的东西。准备潜在的数据违约或附加时,适用相同的原则。当发生攻击时不是思考该做什么的最佳时机。你想准备好。”

这意味着已经投资网络保险(大多数一般保险政策赢得了’T覆盖数据泄露),例如,或者在外部专家,如律师和安全专家,准备在需要时介入。“您可能希望将第三方顾问准备进入并分析攻击,关闭,然后将其放在一起并进行法医分析。”

法律后果

随着财务损失和业务中断,Tucker说,还有一个关于数据所有权的概念的数据泄露的法律后果。公司收集大量数据,而不仅仅是他们的车辆。他们的员工,客户,付款,信用卡也有很多数据– and that’只是冰山一角。关键问题是谁拥有所有数据。

“所有权由谁负责管理该数据的管理,谁可以控制对数据的访问,” Tucker explains. “这转化为该数据的责任,并确保它是安全的。”随着拥有的所有权,如果有数据违约,也会受到责任。

例如,如果汽车运营商通过公司提供的健康计划对员工有与员工有关的健康信息,则违反该数据要求(法律)在对违约者提醒的情况下的具体响应。如果员工社会安全号码被黑客攻击,则需要另一套特定的答复。

这延伸到载体可能与数据共享数据的第三方。“我想到它的方式,是,如果您与第三方分享您的数据,则希望将该第三方持有与您的公司相同的标准,” Tucker says.

公司可以确保第三方和其他与其共享数据的其他人使用在合同下创建义务或义务的合同保证,以数据安全在数据安全方面遵循最佳实践。 Tucker表示,这样的保修可能需要第三方携带网络保险到一定限额。

如果使用第三方服务,Tucker表示,请确保您了解使用条款和服务’隐私政策,其中概述了正在收集的信息以及如何或将无法使用。如果你不’T花时间阅读精美打印,“你可能不会意识到你’VE同意让第三方以某种汇总方式使用您的数据。”

即使有实体的程序,网络威胁也需要继续警惕。东南部表示,这需要不仅仅是IT部门’s Lovelace. “It’你所有的伙伴都有责任。它’是共同的责任。

“这样做的人都是非常有创造力的’你必须留在顶部的东西。”

纠正5/16/16:本文的原始版本提到 to 律师Marc C. Tucker作为特纳和Penske卡车租赁的迈克 Krut as Kurt. Both 自以来已被纠正。 

0评论