Информационная безопасность в малом и среднем бизнесе Казахстана

Мы не раз замечаем одни и те же ошибки: стикеры с паролями на мониторах сотрудников, пароли в стиле “123” или использование одного и того же пароля для всех устройств — эти картины стали уже привычными. Также, мы почти каждый раз встречаем ситуацию, когда компании не заботятся о резервном копировании своих критически важных данных, например, баз данных бухгалтерии. Часто клиенты приходят к нам с просьбой о восстановлении, когда уже произошел взлом, данные зашифровались, либо когда с ящиков сотрудников компании началась массовая рассылка и почта предприятия попала в спам-листы.

Видимо, так заложено в нашем менталитете, что люди начинают беспокоиться о безопасности лишь тогда, когда неприятности уже произошли. Однако многие проблемы можно предотвратить, просто следуя базовым принципам информационной гигиены. Большинство этих мер не требуют значительных финансовых вложений, но способны существенно повысить уровень защиты вашей компании.

Пора перестать относиться к безопасности как к чему-то второстепенному. Придерживаясь простых, но эффективных правил, вы сможете защитить свои данные и сохранить репутацию вашей компании.

Оценка рисков

Прежде чем думать о защите данных и принимать решения об инвестициях в системы безопасности, стоит трезво оценить риски:

• Финансовые.
• Репутационные.
• Учитывать время простоя и восстановления.

Безопасность начинается с вас

Защита личных данных — это ответственность каждого. Наверное, самое элементарное, что может сделать каждый обыватель для улучшения качества своей информационной защиты, — это включить двухфакторную аутентификацию. Например, привязать свой номер телефона ко входу на почту и при каждом входе с нового устройства получать СМС-код или вводить код из приложения телефона. Таким видом защиты сегодня пользуются почти все банковские сервисы, так как SIM-карту достаточно сложно подделать злоумышленнику.

Однако это не означает, что все ваши пароли должны быть одинаковыми на всех сервисах. Если злоумышленник получит пароль от одного сервиса, он этим же паролем может попасть и в другие. Многие современные компьютеры и смартфоны оснащены устройствами считывания биометрических данных, что является удобной и безопасной альтернативой обычному паролю. Даже если на вашем предприятии старые компьютеры, их всегда можно сделать апгрейд и приобрести биометрический сканер отпечатков пальцев — это стоит недорого и существенно увеличивает уровень безопасности в компании.

Используйте менеджеры паролей

Все пароли запомнить невозможно, если только они не одинаковы для всех сервисов. Для того чтобы создать сложный, уникальный пароль, обычно используют менеджеры паролей. Я настоятельно рекомендую использовать платные менеджеры паролей, например, такие как 1Password или Bitwarden, так как они независимы от вашей платформы — Windows, MacOS или Linux и могут работать на любом современном смартфоне и браузере. Во-первых, это показывает ваш высокий уровень информационной грамотности, а также хранит все пароли в защищенном контейнере, который невозможно прочитать сторонними приложениями.

Включайте шифрование дисков

Шифрование предотвращает доступ к данным для тех, кто не имеет соответствующего ключа шифрования. Это особенно важно в случае потери или кражи устройства. Данная технология поддерживается во всех современных операционных системах. Ее просто нужно включить.

Используйте принцип минимальных привилегий

Не стоит давать всем сотрудникам доступ ко всей информации, которая доступна в корпоративной сети компании. Это существенно снижает риски внутренних угроз. Принцип минимальных привилегий, часто называемый принципом последней привилегии, — это концепция в области информационной безопасности, которая заключается в предоставлении пользователям и системам минимального уровня доступа или привилегий, необходимых для выполнения их функций.

Делайте резервные копии

Наличие резервных копий — это одна из лучших практик в управлении информационной безопасностью. В случае сбоя системы или потери данных, резервные копии позволяют быстро восстановить работоспособность бизнеса и минимизировать простои. Также некоторые виды вредоносного ПО, такие как шифровальщики (ransomware), могут шифровать или уничтожать данные. Наличие резервных копий позволяет восстановить данные без уплаты выкупа. Потеря данных может произойти из-за аппаратных сбоев, сбоев программного обеспечения, человеческих ошибок или природных катастроф. Пользователи могут случайно удалить или изменить важные файлы. Резервные копии позволяют восстановить утраченные данные.

Соблюдайте цифровую гигиену

Блокируйте свой компьютер, когда выходите с рабочего места. Не используйте один и тот же пароль на всех сайтах. Регулярно выполняйте обновление программного обеспечения, так как они содержат важные исправления уязвимостей. Включайте двухфакторную аутентификацию там, где это возможно (2FA). Не открывайте ссылки и вложения в электронных письмах или сообщениях от неизвестных или

подозрительных источников, всегда лучше переспросить отправителя по другому каналу связи, например, в мессенджере. Проверяйте и настраивайте параметры конфиденциальности в социальных сетях и других онлайн-сервисах. Ограничивайте доступ к личной информации только для доверенных лиц.

Аппаратные ключи — для особых случаев

Если в вашем распоряжении имеются критически важные данные, например, криптокошельки с крупной суммой, доступ к крупным корпоративным счетам или вам нужно дополнительно защитить доступ к серверной инфраструктуре, то как одно из самых надежных решений можно порекомендовать аппаратные ключи, например, YubiKey с поддержкой биометрии. YubiKey не требует батареек и имеет прочную конструкцию, что делает его надежным устройством для долгосрочного использования. В отличие от программных токенов, аппаратные ключи труднее подделать или украсть удаленно. Физическое устройство нужно иметь при себе, чтобы использовать его. Также активация ключа дополнительно защищается отпечатком пальца.

Приглашайте аудиторов

Регулярно приглашайте независимых экспертов для проведения оценки вашего текущего состояния в области информационной безопасности. Наша компания занимается проведением аудитов с 2007 года, и мы будем рады поделиться своей экспертизой.