Infosec专家挫败数据泄露,勒索软件等的主要技巧

慈善机构的网络安全:如何保护非营利组织免受网络攻击

网络攻击针对慈善机构的针对慈善机构的速度正在以惊人的速度增长,因为网络犯罪分子利用了许多非营利组织的庞大数据集。

慈善组织经常拥有敏感的个人数据关于他们的支持者和员工,有时包括财务信息。

但是,由于限制时间,金钱或技术知识,防止针对慈善机构的网络攻击并不总是那么容易。

但是,即使是最小的慈善组织由于在线可用的几种免费使用资源,可以免费保护其数字资产。

但是要了解你的慈善机构需求,首先,您需要了解为什么该行业的目标是不成比例的。

慈善案

慈善机构面临的最大安全问题可能是数据泄露的不断浮动的威胁。

今年早些时候,澳大利亚乐施会宣布在恶意的第三方获得未经授权的访问该慈善机构数据库后,它遭受了数据泄露。

乐施会尚未确认受影响的个人人数,但它确实宣布泄漏的数据包括姓名,地址,出生日期,电子邮件,电话号码,性别,性别,以及在某些情况下的历史捐赠记录。


阅读更多有关慈善机构的最新安全新闻


即使是最具安全感的组织,仍然可以成为一个受害者数据泄漏由于出现第三方失败的风险。

2020年筹款数据库服务Blackbaud的备受瞩目的勒索软件攻击影响了多个慈善机构和非营利组织,这些慈善机构使用该平台收集支持者的信息。

布莱克博说,攻击者“从我们自托管的(私有云)环境中删除了一部分数据的副本”,并补充说,它支付了赎金以删除这些数据集 - 这种做法是Infosec专家大大皱眉

尽管该公司表示没有证据表明任何数据用于犯罪目的,但它仍影响了全球多个慈善机构的支持者,包括NHS癌症治疗提供者Christie美国儿童医疗组织儿童明尼苏达州


慈善机构通常拥有大量敏感用户数据慈善机构通常拥有大量敏感用户数据

'可悲的现实'

大卫·康明斯(David Cummins)是美国EMEA的副总裁Tenable,这是一家总部位于美国的网络安全公司,与许多大型慈善机构合作,包括全球援助组织。

康明斯告诉每日swbeplay2018官网ig

“来自英国数字,文化,媒体和体育部门发现,2020年有26%的慈善机构经历了网络违规或攻击。

“从2020年Tenable自己对网络漏洞的分析中,已知漏洞仍然是攻击者最喜欢的方法。

“这就是为什么我们向客户提供的指导,包括许多慈善组织,是正确的基本知识将阻止绝大多数的网络威胁。”


阅读更多慈善机构,IT服务人员最容易被网络钓鱼攻击蒙受障碍 - 研究


康明斯引用了用户意识,恶意软件检测和系统备份是针对网络犯罪分子的关键防御,尽管他指出,“最有效的方法”是建立所有员工都可以遵循的基本网络卫生实践。

“这要求组织对其基础架构进行整体视野,确定对功能至关重要的资产和系统,确定哪个漏洞存在于这些正在积极利用的核心区域内,并更新这些系统以首先修复这些缺陷。”康明斯补充说。

“同时,还必须将重点放在确保帐户 - 员工,服务承包商,临时工人,系统帐户等 - 以及他们在系统中获得和权限的访问和许可。”

投资培训

网络热线索林是由志愿者开展的英国慈善机构,向公民提供有关安全问题的建议,从网络钓鱼袭击到网络跟踪。

为了确保慈善机构能够提供最佳建议,并保护自己免受攻击。每日swbeplay2018官网ig它投资于电子学习平台,以提供最新的训练/它还与网络安全专家定期进行谈判,以提供现实生活中的安全事件的外观。

指数-E的网络咨询主管Mark Belgrove兼创始人兼网络热线助理主管每日swbeplay2018官网ig志愿者进行必要的事件响应培训至关重要。

他说:“换句话说,确保他们了解数字威胁格局的技术细微差别。一旦获得了这些知识,他们将能够为我们与之合作的受害者提供最高的支持标准。”

Belgrove补充说:“通过这种方式,我们的志愿者对威胁景观的最新发展产生了全面的看法。”


澳大利亚乐施会今年早些时候成为数据泄露的受害者澳大利亚乐施会今年早些时候成为数据泄露的受害者


不要错过人权慈善机构带领运动揭示破坏隐私的Android应用程序


近年来,世界各地的政府安全机构为慈善机构和小型企业释放了免费资源,这些慈善机构和小型企业涵盖了有关预防和回应网络攻击的实用建议。

英国国家网络安全中心(NCSC)发表了小型慈善指南并提供在其网站上为公共部门提供免费在线建议beplay体育能用吗

在澳大利亚,治理工具包包括指南的指南和评估工具。

对于美国的慈善机构US-CERT有广泛的指南在其网站上为非beplay体育能用吗技术用户提供安全提示。

改善慈善机构安全姿势的主要技巧

每日swbeplay2018官网ig与拥有慈善机构领域经验的Infosec专家联系,并询问他们为非营利组织确保其数据所需的建议。

Knowbe4的安全意识倡导者Javvad Malik说:“第一个也许是最重要的提示是从非技术角度来看,即研究组织文化。这涉及对安全意识进行投资,以便人们可以做出更好的风险决策,即使最复杂的工具并非总是可用的。

“第二个提示是管理凭据。这可能涉及实施多因素验证,管理特权访问或为员工提供密码管理人员。

“第三个技巧是保持关键修补的顶部,尤其是针对公共和可访问的系统。”

曾担任慈善受托人的Comparitech安全专家Brian Higgins说:“在您的慈善机构风险登记册中添加网络安全,并将其作为董事会议程中的站立物品。这将确保在高级,决策和资源分配级别上定期讨论主题。

“实施常规且适合风险的数据备份协议。勒索软件是当今最受欢迎的犯罪方法之一,因此,在您的操作中保持运营至关重要网络受害。

“培训所有员工的安全意识。确保管理人员了解网络钓鱼如果清洁工不知道插入地板上发现的USB有多危险!”


有关的网络安全仍然是非营利组织的主要问题


Onelogin的全球数据保护官Niamh Muldoon表示,重要的是要通过跟踪其资产,可以使用它们以及如何监视其资产来了解慈善机构面临的风险。

为了保护慈善机构免受攻击和违规的侵害,Muldoon提供了以下最佳实践清单:

  • 对管理设备和系统的总数进行审核

  • 安全处理未使用和/或旧设备

  • 限制在需要的基础上访问他人的访问

  • 尽可能禁用蓝牙和GPS

  • 在可用时应用所有更新和补丁

    • 她说:“知道自己拥有的东西,知道它在哪里,知道它的价值,并确定如何保护它。”


    你也许也喜欢“我们敦促所有小慈善机构采取行动”