При использовании электронной подписи и ведении бизнеса в целом, безопасность — просто необходима. В статье расскажем про разные типы киберугроз и дадим понятную инструкцию, как комплексно защитить от них компанию.
Внутренние угрозы — это риски, которые возникают внутри компании: уязвимости ИТ-продуктов компании, информационная неграмотность сотрудников, отсутствие шифрования трафика и двухфакторной аутентификации. Порой работники специально хотят навредить компании: копируют или удаляют базы данных, крадут корпоративные ноутбуки или подбрасывают зараженные флешки другим сотрудникам. Они могут действовать из мести или в сговоре с хакерами.
Разберем более частую ситуацию, когда сотрудники случайно подвергают компанию опасности. Например, они хранят пароли на рабочем столе в файле «пароли», а еще часто пользуются рабочим компьютером для личных целей: смотрят дешевые авиабилеты, общаются с близкими в мессенджерах и скроллят новости в соцсетях. Они могут зайти на незащищенный сайт и случайно скачать стилер. Вредоносная программа сразу найдет файл «пароли» и передаст информацию мошенникам.
Внешние угрозы — риски, которые возникают за пределами компаний: например, из-за мошенников, уязвимостей рабочих программ, информационной неграмотности партнеров и подрядчиков.
Например, злоумышленники захотели сломать сайт онлайн-школы с помощью DDoS-атаки. За время своей работы они сформировали бот-сеть зараженных компьютеров, к которым можно подключиться дистанционно. Хакеры соединяются с устройствами и с каждого отправляют запрос к сайту: сайт не выдерживает нагрузки и перестает работать. Клиенты приходят с рекламы, видят сломанный сайт и ничего не покупают, а бюджет тратится.
Смешанные угрозы — риски, которые появляются при встрече внутренних и внешних факторов: фишинг (поддельные письма и сайты), кибератака «человек посередине».
Особенность фишинга заключается в том, что мошенники изучают жертву. Например, бухгалтер активно ведет социальные сети: он указал место работы в профиле, а еще разместил много фотографий с благотворительных мероприятий. Злоумышленник изучает аккаунт жертвы, находит его рабочую почту и отправляет письмо с просьбой стать спонсором поддельного благотворительного фонда для помощи больным детям. Во вложении хакер размещает несуществующие реквизиты. Как только бухгалтер скачивает вложение, на компьютер устанавливается шпионская программа с удаленным доступом. Потом злоумышленник заходит на компьютер бухгалтера, отправляет клиентам счета на оплату с новыми реквизитами и удаляет письма из почты сотрудника, чтобы специалист не заметил исходящие отправки.
Последствия киберугроз бывают самые разные: ломаются сайты, утекают чувствительные данные, похищаются деньги со счетов, блокируется важная информация на компьютерах, а главное — страдает репутация компании.
Выбрать ответственного сотрудника в штате или передать задачу на аутсорс. В идеальном варианте за защиту компании должен отвечать специалист по информационной безопасности. Но в небольшой компании такого сотрудника может не быть в штате — тогда можно передать задачи на аутсорс. Но в идеале стратегическим вещами должен заниматься кто-то на стороне компании — определять приоритетные шаги по защите компании, определять бюджет на ИБ-решения и наем специалистов.
Затем нужно понять, какие каналы нужно защищать — с какими файлами и программами чаще всего работают сотрудники, как общаются, какими устройствами пользуются (корпоративными или личными). В итоге будет готов список ресурсов, которые нужно защищать: компьютеры сотрудников, сайты и серверы компании, программный код ИТ-продуктов, рабочие мессенджеры и так далее.
Связать точки и решения. Составить таблицу со списком всего, что нужно защитить, и рядом прописать, как это можно сделать. Например, компьютеры сотрудников можно защитить с помощью антивирусов и фаерволов — программ, которые анализируют сетевой трафик и блокируют все подозрительные данные. А предотвратить утечки можно с помощью программ для отслеживания действий сотрудников и корпоративного VPN.
Приведем пример таблицы.
| Что нужно защитить | Как можно защитить |
|---|---|
| Компьютеры сотрудников | Антивирусы, программы-песочницы, VPN, фаерволы, IDS-системы для предотвращения вторжений, резервное копирование. |
| Сайты | Anti-DDoS-программы, капчи, CDN, Web Application Firewall, резервное копирование. |
| Программный код | DLP-системы для предотвращения утечек, IDS-системы для предотвращения вторжений, резервное копирование и так далее. |
На этом этапе нужно разобраться, какие типы решений больше подходят для бизнеса, а на следующем этапе уже выбрать конкретные ИТ-продукты.
Выбрать подходящие решения. Поискать ИТ-продукты от разных поставщиков: определить нужные функции, сориентироваться по цене и посмотреть доступные интеграции.
Например, сотрудники используют Microsoft Office — решение должно синхронизироваться с пакетом программ, чтобы защищать файлы внутри.
Директора компании используют macOS, а остальные Windows — решение должно работать на двух операционных системах.
В компании работают 150+ человек — решение должно поддерживать подключение к такому количеству устройств, а это повлияет на его стоимость.
Когда появится понимание рынка, можно закладывать бюджет на ИТ-продукты.
Настроить интеграции. Синхронизировать сервисы друг с другом и с вашими рабочими программами. Например, антивирусы любят ограничивать работу программ для удаленного доступа: им не нравится, когда к устройству подключаются другие компьютеры. А еще можно выбрать экосистемы ИТ-продуктов, чтобы решения могли работали в связке друг с другом. Это удобно для всех отделов: например, сейчас компания внедряет Контур.Доступ для информационной безопасности, а через год захочет перейти на новую бухгалтерию. Проще и быстрее подключить Контур.Экстерн, чем искать другие аналоги и настраивать интеграции с нуля.
Постоянно тестировать систему безопасности. Следить за работой программ, а еще постоянно искать дыры в информационной безопасности компании: например, используют ли сотрудники двухфакторную аутентификацию в мессенджерах, какие новые схемы фишинга создают мошенники и насколько безопасны обновления корпоративных программ. Например, Google и Microsoft платят вознаграждениям специалистам, которые находят уязвимости в их продуктах. Это называется Bug Bounty. Злоумышленники все время придумывают новые атаки, поэтому кибербезопасность — эта бесконечная история, где всегда можно что-то улучшить.
Работать с сотрудниками. Проводить мастер-классы, например, запустить якобы фишинговую рассылку и отследить, сколько человек перешло по вредоносной ссылке. Всем жертвам отправить письмо с инструкцией на случай реальных писем.
Еще обязательно вести парольные политики — документы с требованиями к рабочим паролям. Пароли должны включать прописные и строчные буквы, спецсимволы и цифры. Обычно сотрудники устанавливают пароли из знакомых наборов знаков — например, даты рождения, названия компании, номера паспорта. А потом используют этот пароль во всех сервисах. Это небезопасно: специальные программы перебирают пароли и находят верные комбинации. Например, пароль только из букв разгадают за один день, а из букв разного размера, цифр и спецсимволов длиной от 9 знаков уже за год.
Автор: Надежда Запольских