Кибербезопасность австралийской некоммерческой организации настолько плоха, что это может повлиять на пожертвования

Некоммерческий сектор является одним из крупнейших работодателей и источников доходов в Австралии. В некоммерческом секторе Австралии работают 1,4 миллиона человек, а еще 3,2 миллиона человек занимаются волонтерской деятельностью. Общий доход сектора составляет 190 миллиардов долларов, и эти деньги идут непосредственно на поддержку важнейших проблем по всей стране.

К сожалению, согласно новому исследованию Infoxchange, этот сектор плохо оснащен для удовлетворения требований безопасности современных ИТ-сред, и это не только подвергает риску около пяти миллионов человек, но и ограничивает способность сектора NFP решать проблемы Австралии. наиболее насущные проблемы гуманитарной и социальной справедливости.

Перейти к:

Анализ кибербезопасности NFP от Infoxchange Последствия плохой безопасности Подход «возврат к основам»

Анализ кибербезопасности NFP от Infoxchange

Исследование Infoxchange «Цифровые технологии в некоммерческом секторе» предлагает глубокое погружение в доминирующие тенденции, с которыми сталкиваются благотворительные и некоммерческие организации в сфере технологий, на основе опроса более 1000 организаций в этом секторе. Статистика включает в себя:

В прошлом году каждая восьмая опрошенная организация столкнулась с инцидентом кибербезопасности. Лишь 23% компаний имели эффективные процессы информационной безопасности, позволяющие сотрудникам и волонтерам защищать данные организации. Лишь 39% внедрили многофакторную аутентификацию для систем, подключенных к Интернету и хранящих конфиденциальные данные, и лишь 13% имели документированный план по улучшению защиты от кибербезопасности. Лишь 12% НК проводили регулярные тренинги по кибербезопасности, и только каждый пятый имел действующую политику кибербезопасности.

Эти национальные координаторы понимают важность цифровой модернизации. В другом месте отчета 45% заявили, что уже перенесли «большую часть» своих ИТ в облако. Национальные координаторы также глубоко заинтересованы в возможностях технологий для улучшения их коммуникаций: 38% заявили, что улучшение их веб-сайта было их ключевым приоритетом в будущем. Между тем, 32% заявили, что главной технологической целью является более эффективное использование цифрового маркетинга.

Отсутствие поддержки приводит к тому, что национальные координаторы используют плохие методы обеспечения безопасности.

И все же, не задаваясь вопросом о кибербезопасности, большинство «согласилось» с тем, что они действуют в соответствии с лучшими практиками (рис. А).

Рисунок А

«Несмотря на такое огромное влияние на нашу экономику и нашу жизнь, благотворительные и некоммерческие организации не получили поддержки, необходимой им для борьбы со все более сложным уровнем кибератак», — заявили Дэвид Кросби и Тим Костелло, АО. Совет сообщества Австралии в совместном заявлении. «В отличие от бизнеса, благотворительные организации тратят каждый свободный доллар, который могут найти, на служение своим сообществам.

«Выделение большего количества ресурсов на укрепление кибербезопасности будет означать снижение уровня услуг, доступных в наших сообществах. Многие благотворительные организации и национальные координаторы с трудом отказываются от услуг, хотя кибербезопасность явно является важным приоритетом».

Последствия плохой безопасности

В августе появились новости о том, что данные 50 000 доноров, затронувших до 70 национальных координаторов, включая крупные благотворительные организации, такие как Фонд Фреда Холлоуза, Совет по борьбе с раком и Столовую, были утекли и опубликованы в даркнете.

Это произошло из-за того, что национальные координаторы заключили партнерские отношения не с той организацией — в данном случае с Pareto Phone для услуг телемаркетинга — но это подчеркивает низкий уровень озабоченности безопасностью или осведомленности среди многих благотворительных организаций.

Организации обязаны гарантировать, что сторонние партнеры несут ответственность за данные клиентов.

Кроме того, в 2022 году другая крупная австралийская благотворительная организация, The Smith Family, подверглась непосредственной атаке хакеров и украла важные данные около 80 000 доноров, включая кредитные карты и личную информацию.

Недостаточная осведомленность NFP о безопасности подвергает их юридической ответственности

Как отмечает Мурс, юридическая фирма, специализирующаяся на поддержке благотворительных и других организаций, занимающихся «социальным благом», последствия кибер-взломов для национальных координаторов особенно разрушительны.

SEE: Австралийские предприятия применяют подход к кибербезопасности, основанный на предположении о нарушении.

«К сожалению, многие благотворительные организации и национальные координаторы подвержены атакам кибербезопасности из-за низкого уровня киберустойчивости», — отметила фирма в блоге. «Для благотворительной организации или национального координатора неспособность принять соответствующие меры для защиты данных может означать: раскрытие конфиденциальной информации бенефициаров, доноров или членов; потеря благотворительных фондов и ресурсов; репутационный ущерб; и нарушение юридических обязательств».

И все же, несмотря на эти опасения и трудности, с которыми сталкиваются национальные координаторы при финансировании безопасности, на любом уровне, похоже, предпринимается мало усилий для решения этой проблемы.

Например, Совет сообщества Австралии использует отчет Infoxchange для лоббирования премьер-министра, утверждая, что в документе для обсуждения Стратегии австралийской кибербезопасности на 2023–2030 годы (включая концепцию «шести щитов») не упоминаются конкретно благотворительные и некоммерческие организации. , несмотря на их значительный вклад в австралийскую рабочую силу, ВВП и благосостояние общества.

«Никогда не было так важно наращивать цифровые возможности и устойчивость некоммерческого сектора», — заявил в своем пресс-релизе генеральный директор Infoxchange Дэвид Сприггс, поддержав призывы к усилению стратегической и национальной поддержки национальных координаторов и кибербезопасности. «Поскольку австралийцы несут на себе основную тяжесть кризиса стоимости жизни, это оказывает большее давление на некоммерческие и местные общественные организации, которые находятся на переднем крае реагирования на рекордный уровень спроса на услуги».

Подход «возврат к основам»

Маловероятно, что национальные координаторы увидят внезапный приток средств для улучшения своей ситуации с безопасностью. Вместо этого ИТ-специалисты, работающие в национальных координаторах, должны принять подход «возвращения к основам» к ИТ-безопасности и убедиться, что, по крайней мере, организации следуют этим передовым практикам.

Обучайте и обучайте персонал

Первой линией защиты в кибербезопасности часто являются сами пользователи. ИТ-специалистам следует проводить регулярные тренинги, чтобы информировать персонал о новейших киберугрозах и способах их распознавания. Сюда входят фишинговые атаки, атаки с использованием вредоносного ПО и программ-вымогателей.

Внедрите политику надежных паролей

Одной из областей, в которой НК хорошо осведомлены, является ценность надежных паролей и политики управления паролями, которые включают двухфакторную и многофакторную аутентификацию. ИТ-специалистам следует стремиться к внедрению максимально надежных политик нулевого доверия, особенно для тех национальных координаторов, которые работают преимущественно в облаке.

Регулярно обновлять и исправлять системы

Киберугрозы постоянно развиваются, и устаревшее программное обеспечение может иметь уязвимости, которыми могут воспользоваться хакеры. Регулярное обновление и исправление всех систем имеет решающее значение для обеспечения их безопасности.

ПРЕМИУМ: воспользуйтесь преимуществами этой политики управления исправлениями.

Установите и обновите программное обеспечение безопасности

Используйте надежное программное обеспечение безопасности, которое обеспечивает защиту в режиме реального времени от вредоносного ПО и других киберугроз. Многие современные пакеты программного обеспечения безопасности имеют встроенный искусственный интеллект, который крайне важно использовать в условиях нехватки человеческих ресурсов.

Регулярно создавайте резервные копии данных

Регулярное резервное копирование данных необходимо для восстановления после кибератак. Резервные копии следует создавать часто и регулярно проверять, чтобы гарантировать, что их можно будет восстановить в случае необходимости. Также важно надежно хранить резервные копии — удаленно или в облаке, чтобы защитить их от физического повреждения или кражи. В качестве защиты от программ-вымогателей командам безопасности следует искать резервные копии, которые также имеют «воздушный зазор», предотвращающий доступ программ-вымогателей к данным резервной копии.

Инвестируйте в управляемые услуги

Национальным координаторам следует рассмотреть возможность инвестирования в управляемые услуги для поддержки своих внутренних команд. Результатом переноса работы в облако с точки зрения безопасности является то, что группы безопасности могут поддерживать организацию удаленно, а многие MSP, заботящиеся о безопасности, специализируются на поддержке небольших организаций с ограниченными ресурсами.