Всем известные события в мире развязали руки огромному количеству людей, которые занимаются хакингом профессионально или любительски. Кроме того, сегодня во многих зарубежных странах ответственность за подобные действия, если ты работаешь в интересах государства, практически отсутствует. Я бы назвал нынешнее время периодом почти полной “цифровой анархии” — делай, что хочешь. По этой причине атаки сейчас совершаются не только на госсектор или КИИ, но и на бизнес. Более того, речь идет не только про крупный, но и малый/средний бизнес (СМБ) в том числе. Сегодня любой объект RU сегмента — это цель. Будь то скромный сайт по продаже вязанных ручных изделий или крупный IT-гигант. Информационная безопасность (ИБ) сегодня — это уже не прихоть, а критически важная необходимость. Но вот если раньше мы говорили о том, что ИБ в СМБ было очень тяжело реализовать по причине стоимости и “кому я там нужен”, то сегодня вы просто можете стать случайной целью из-за массовости атак. Лучше быть к этому готовым. Исходить всегда лучше из объективной реальности, поэтому я бы хотел проговорить несколько рекомендаций, которые, на мой взгляд, могут позволить реализовать ИБ в любом бизнесе без больших затрат. Необходимо лишь желание и осознание важности подобных мероприятий. Прежде всего, вы должны задать себе ключевой вопрос: «Какие из моих цифровых или иных активов самые ценные?» Проведите аудит данных, которые хранит ваша компания. Рассмотрим на примере интернет-магазина. У вас наверняка есть база клиентов. Где она хранится? На сколько это защищенное место? Какие из этих данных самые важные? Сколько вам будет стоить потеря этой базы? У кого есть доступ к этой базе? В контексте СМБ провести подобный аудит можно самому, потратив буквально несколько часов. Что вам это даст? Теперь, когда мы примерно понимаем, что именно защищаем, нам будет проще искать конкретные решения. Лично я бы поделил методы обеспечения информационной безопасности для СМБ на 2 категории: В этом блоке опишу несколько правил информационной безопасности, которые мне представляются важными, исходя из опыта работы. Даже если в вашей компании работает 2–3 человека, вы обязаны повышать осведомленность в вопросах ИБ у себя и у них. Без внедрения культуры безопасности ни один совет может не помочь. Люди — это самое слабое звено, и ни одна мера безопасности не спасет вас, если сотрудник просто скачает исполняемый файл из подозрительного письма и запустит его у себя на компьютере. Сотрудники должны понимать важность всех этих действий и четко осознавать свою ответственность. Подберите бесплатные курсы по антифишингу, парольным политикам, безопасности личных и корпоративных устройств и обяжите своих сотрудников пройти их вместе с последующим тестированием (задокументируйте этот процесс). Не обязательно искать дорогое обучение по информационной безопасности. Подобные мероприятия нужно проводить периодически, делая акцент на том, как это важно. Можно периодически самому устраивать выборочную проверку своих сотрудников на предмет осведомленности в вопросах безопасности. К примеру, можете попробовать отправить нескольким сотрудникам фишинговые письма с каким-нибудь вложением внутри (естественно, без всяких “вредоносов”). Ну а если бюджет позволяет и вам не хочется тратить на подобное тестирование время, есть масса компаний, которые проводят такие аудиты. Каждый сотрудник должен иметь только те доступы, которые ему необходимы для работы, и не более того. Контролируйте доступы! Если сотрудник уволился, закройте доступ. Эта мера также сильно упрощает расследование при возникновении неприятных инцидентов, особенно в СМБ. Пожалуй, это минимальный набор рекомендаций, которые точно нужно реализовать. И на это не потребуется почти никаких финансовых вложений. Теперь поговорим про технические средства защиты информации. При глубокой настройке вы сможете отслеживать действия сотрудников с их рабочих станций (если компьютеры корпоративные) или эффективно расследовать инциденты информационной безопасности. Очень рекомендую ознакомиться с этим классом решений. Особенно, если у вас 25+ сотрудников. Если ваши основные активы — это приложения и web-сервисы, вам точно необходимо внедрить защиту от этого класса угроз. Это одна из самых частых и эффективных атак. Защитных решений существует тоже очень много. Можно найти то, которое устроит вас по функционалу и бюджету. Это довольно дорогая услуга, и СМБ не всегда могут позволить себе проводить подобные мероприятия. Но даже при том, что услуга недешевая, необходимо проводить ее хотя бы раз в год. На первых парах вам может это не понадобиться, но в случае роста бизнеса — это критически необходимо. Иногда можно сэкономить и найти молодую компанию, которая оказывает подобные услуги пока еще за не очень большие деньги, но с наличием лицензий и возможностью заключить официальный договор оказания услуг. Это может быть хорошим решением. В заключении хочу проговорить еще пару очень важных вещей. Обеспечение информационной безопасности — это НЕ разовая мера, а постоянный процесс. Особенно это касается части повышения осведомленности персонала в вопросах безопасности. Разового прохождения тренингов и тестирований будет недостаточно. Тут главное системность и творческий подход. Можно организовать процесс таким образом, чтобы сотрудникам было интересно. Единственное ограничение — ваша фантазия. И второе, есть несколько полезных материалов: — Документ от NIST (национальный институт стандартов и технологий) для малого и среднего бизнеса. В этом гайде есть полная инструкция для тех, кто хочет сделать все “по-серьезному” и детально с использованием лучших мировых практик. Повторюсь, сегодня ИБ — это уже не прихоть, а критическая необходимость для каждого вне зависимости от того, крупные вы или нет. Не забывайте об этом. Автор – Никита Артемов, профайлер НИЦКБ, специалист по корпоративным расследованиям.С чего начать защиту информации?
Давайте поделим на 2
— простые действия, которые вы можете сделать без привлечения внешних специалистов и финансовых затрат (назовем это “базой”).
— меры ИБ с привлечением внешних специалистов и покупкой различных технических решений (назовем это “второй уровень”).«База»
1. Культура информационной безопасности и обучение.
2. Пароли и «двухфакторка».
«Второй уровень»
— Бесплатный курс по оценке ущерба в кибербезопасности.